Gestion des appareils

Citrix Endpoint Management peut gérer, sécuriser et inventorier un large éventail de types d’appareils au sein d’une seule console de gestion.

  • Utilisez un ensemble commun de stratégies pour gérer les appareils pris en charge. Pour un aperçu rapide des stratégies disponibles par plate-forme :

    1. Accédez à la console Endpoint Management et cliquez sur Configurer > Stratégies d’appareil.
    2. Cliquez sur Ajouter, puis sélectionnez les plates-formes que vous souhaitez afficher.

      Pour de plus amples informations, consultez la section Filtrer la liste des stratégies d’appareil ajoutées.

  • Protégez les informations de votre entreprise grâce à des mesures de sécurité strictes pour l’identité, les appareils appartenant à l’entreprise et BYO, les applications, les données et le réseau. Spécifiez les identités utilisateur à utiliser pour s’authentifier sur les appareils. Configurez comment séparer les données d’entreprise et les données personnelles sur les appareils.

  • Distribuez n’importe quelle application aux utilisateurs finaux, quel que soit l’appareil ou le système d’exploitation. Protégez vos informations au niveau des applications et assurez une gestion des applications mobiles d’entreprise.

  • Utilisez des contrôles de provisioning et de configuration pour configurer les appareils. Ces contrôles incluent l’inscription d’appareils, l’application de stratégie et les privilèges d’accès.

  • Utilisez les contrôles de sécurité et de conformité pour créer une base de sécurité personnalisée avec des déclencheurs exploitables. Par exemple, vous pouvez verrouiller, effacer ou notifier un appareil ne respectant pas les normes de conformité définies.

  • Utilisez les contrôles de mise à jour du système d’exploitation pour empêcher ou appliquer les mises à jour du système d’exploitation. Cette fonctionnalité est essentielle pour la prévention des pertes de données face aux vulnérabilités ciblées du système d’exploitation.

Pour accéder aux articles concernant chaque plate-forme prise en charge, développez la section « Gestion des appareils » dans la liste des contenus. Ces articles fournissent des détails spécifiques à chaque plate-forme d’appareil. Le reste de cet article décrit comment effectuer des tâches générales de gestion des appareils.

Procédure de gestion des appareils

Les diagrammes de cette section fournissent une séquence suggérée pour l’exécution des tâches de gestion des appareils.

  1. Conditions préalables recommandées pour l’ajout d’appareils et d’applications : l’exécution de la configuration suivante à l’avance vous permet de configurer les appareils et applications sans interruption.

    Diagramme des étapes recommandées avant d'ajouter des appareils et des applications

    Voir :

    Déployer des ressources

    Configurer des rôles avec RBAC

    Créer et mettre à jour des modèles de notification

    Créer et gérer des workflows

  2. Ajouter des appareils :

    Diagramme d'ajout d'appareils

    Voir :

    Préparation à l’inscription d’appareils et à la mise à disposition de ressources

    Stratégies d’appareil

    Pour déployer sur des groupes de mise à disposition

    Actions automatisées

  3. Préparer les invitations d’inscription : effectuez ces tâches si vous prévoyez d’utiliser les invitations d’inscription.

    Diagramme de préparation des invitations d'inscription

    Voir :

    Configurer les modes d’inscription

    Envoyer une notification aux appareils

  4. Ajouter des applications :

    Diagramme d'ajout d'applications

    Voir :

    MDX Service

    Ajouter des applications

    Créer des catégories d’applications

    Créer et gérer des workflows

    Pour déployer sur des groupes de mise à disposition

  5. Effectuer une gestion continue des appareils et des applications : en plus d’utiliser le tableau de bord Endpoint Management, nous vous encourageons à passer en revue le contenu Nouveautés de chaque version. Les nouveautés fournissent des informations sur les actions nécessaires, telles que la configuration de nouvelles stratégies.

    Diagramme de gestion des applications et des appareils

    Voir :

    Surveillance et support

    Rapports

    Actions de sécurisation

    Nouveautés

    Stratégies d’appareil

Invitations d’inscription

Pour gérer les appareils utilisateur à distance et de manière sécurisée, vous devez les inscrire dans Endpoint Management. Le logiciel client Endpoint Management est installé sur l’appareil utilisateur et l’identité de l’utilisateur est authentifiée. Endpoint Management et le profil utilisateur sont installés. Pour plus d’informations sur l’inscription des plates-formes d’appareils prises en charge, consultez les articles sur les appareils de cette section.

Dans la console Endpoint Management, vous pouvez envoyer une invitation d’inscription aux utilisateurs d’appareils iOS, macOS et Android. Vous pouvez également envoyer un lien d’installation aux utilisateurs d’appareils iOS ou Android.

Des invitations d’inscription sont envoyées comme suit :

  • Si l’invitation d’inscription est pour un utilisateur local ou Active Directory : l’utilisateur reçoit l’invitation par SMS sur le numéro de téléphone et le nom d’opérateur que vous spécifiez.

  • Si l’invitation d’inscription est pour un groupe : les utilisateurs reçoivent des invitations par SMS. Si les utilisateurs Active Directory ont une adresse e-mail et un numéro de téléphone mobile dans Active Directory, ils reçoivent l’invitation. Les utilisateurs locaux reçoivent l’invitation sur l’e-mail et le numéro de téléphone spécifiés dans les propriétés de l’utilisateur.

Une fois que les utilisateurs s’inscrivent, leurs appareils apparaissent en tant que gérés sous Gérer > Appareils. L’état de l’URL d’invitation s’affiche en tant que Utilisée.

Conditions préalables

  • LDAP configuré
  • Si vous utilisez des groupes locaux et utilisateurs locaux :

    • Un ou plusieurs groupes locaux.

    • Utilisateurs locaux attribués à des groupes locaux.

    • Des groupes de mise à disposition sont associés à des groupes locaux.

  • Utilisation d’Active Directory :

    • Des groupes de mise à disposition sont associés à des groupes Active Directory.

Créer une invitation d’inscription

  1. Dans la console Endpoint Management, cliquez sur Gérer > Invitations d’inscription. La page Invitations d’inscription s’affiche.

    Écran d'invitation d'inscription à la console Endpoint Management

  2. Cliquez sur Ajouter. Un menu des options d’inscription s’affiche.

    Écran d'ajout d'une invitation

    • Pour envoyer une invitation d’inscription à un utilisateur ou un groupe, cliquez sur Ajouter une invitation.
    • Pour envoyer un lien d’installation d’inscription à une liste de destinataires via SMTP ou SMS, cliquez sur Envoyer lien d’installation.

    L’envoi d’invitations d’inscription et de liens d’installation est décrit après ces étapes.

  3. Cliquez sur Ajouter une invitation. L’écran Invitation d’inscription s’affiche.

    Écran d'invitation d’inscription

  4. Pour configurer ces paramètres :

    • Destinataire : choisissez Groupe ou Utilisateur.
    • Sélectionner une plate-forme : si Destinataire est défini sur Groupe, toutes les plates-formes sont sélectionnées. Vous pouvez modifier la plate-forme sélectionnée. Si Destinataire est défini sur Utilisateur, aucune plate-forme n’est sélectionnée. Sélectionnez une plate-forme.
    • Propriétaire : sélectionnez Entreprise ou Employé.

    Les paramètres pour les utilisateurs ou groupes s’affichent, comme décrit dans les sections suivantes.

Pour envoyer une invitation d’inscription à un utilisateur

Écran des paramètres d'invitation d’inscription

  1. Configurez ces paramètres Utilisateur :

    • Nom d’utilisateur : entrez un nom d’utilisateur. L’utilisateur doit exister dans le serveur Endpoint Management en tant qu’utilisateur local ou en tant qu’utilisateur dans Active Directory. Si l’utilisateur est local, configurez la propriété Email de l’utilisateur pour vous permettre de lui envoyer des notifications. S’il s’agit d’un utilisateur Active Directory, assurez-vous que LDAP est configuré.
    • Infos sur l’appareil : ce paramètre ne s’affiche pas si vous sélectionnez plusieurs plates-formes, ou si vous sélectionnez macOS uniquement. Choisissez Numéro de série, UDID ou IMEI. Après avoir choisi une option, un champ s’affiche dans lequel vous pouvez entrer la valeur correspondante à l’appareil.
    • Numéro de téléphone : ce paramètre ne s’affiche pas si vous sélectionnez plusieurs plates-formes, ou si vous sélectionnez macOS uniquement. Si vous le souhaitez, entrez le numéro de téléphone de l’utilisateur.
    • Opérateur : ce paramètre ne s’affiche pas si vous sélectionnez plusieurs plates-formes, ou si vous sélectionnez macOS uniquement. Choisissez un opérateur à associer au numéro de téléphone de l’utilisateur.
    • Mode d’inscription : choisissez la manière dont vous souhaitez que les utilisateurs s’inscrivent. La valeur par défaut est Nom d’utilisateur + mot de passe. Certaines des options suivantes ne sont pas disponibles pour toutes les plates-formes :
      • Nom d’utilisateur + mot de passe
      • Haute sécurité
      • URL d’invitation
      • URL d’invitation + PIN
      • URL d’invitation + mot de passe
      • Deux facteurs
      • Nom d’utilisateur + PIN

    Seules les options Mode d’inscription qui sont valides pour chacune des plates-formes sélectionnées s’affichent. Un code PIN d’inscription est également appelé un code PIN à usage unique. Ces codes PIN sont valides uniquement lorsque l’utilisateur s’inscrit.

    Remarque :

    Lorsque vous sélectionnez un mode d’inscription qui comprend un code PIN, le champ Modèle pour le code PIN d’inscription s’affiche. Cliquez sur Code PIN d’inscription.

    • Modèle pour téléchargement de l’agent : choisissez le modèle de lien de téléchargement appelé Lien de téléchargement. Ce modèle est destiné à toutes les plates-formes prises en charge.
    • Modèle pour l’URL d’inscription : choisissez Invitation d’inscription.
    • Modèle pour la confirmation d’inscription : choisissez Confirmation d’inscription.
    • Expire après : ce champ est défini lorsque vous configurez le mode d’inscription et indique quand l’inscription expire. Pour plus d’informations sur la configuration des modes d’inscription, veuillez consulter la section Configurer les modes d’inscription.
    • Nbre max de tentatives : ce champ est défini lorsque vous configurez le Mode d’inscription et indique le nombre maximal de tentatives du processus d’inscription.
    • Envoyer invitation : sélectionnez ON pour envoyer l’invitation immédiatement. Sélectionnez OFF pour ajouter l’invitation au tableau sur la page Invitations d’inscription, mais ne pas l’envoyer.
  2. Cliquez sur Enregistrer et Envoyer si vous avez activé Envoyer invitation. Sinon, cliquez sur Enregistrer. L’invitation apparaît dans le tableau sur la page Invitations d’inscription.

    Tableau sur la page d'invitations d'inscription

Pour envoyer une invitation d’inscription à un groupe

La figure suivante montre les paramètres de configuration d’une invitation d’inscription à un groupe.

Écran d'invitation d'inscription à un groupe

  1. Pour configurer ces paramètres :

    • Domaine : choisissez le domaine du groupe qui recevra l’invitation.
    • Groupe : choisissez le groupe qui recevra l’invitation.
    • Mode d’inscription : choisissez la manière dont vous souhaitez que les utilisateurs du groupe s’inscrivent. La valeur par défaut est Nom d’utilisateur + mot de passe. Certaines des options suivantes ne sont pas disponibles pour toutes les plates-formes :
      • Nom d’utilisateur + mot de passe
      • Haute sécurité
      • URL d’invitation
      • URL d’invitation + PIN
      • URL d’invitation + mot de passe
      • Deux facteurs
      • Nom d’utilisateur + PIN

    Seules les options Mode d’inscription qui sont valides pour chacune des plates-formes sélectionnées s’affichent.

    Remarque :

    Lorsque vous sélectionnez un mode d’inscription qui comprend un code PIN, le champ Modèle pour le code PIN d’inscription s’affiche. Cliquez sur Code PIN d’inscription.

    • Modèle pour téléchargement de l’agent : choisissez le modèle de lien de téléchargement appelé Lien de téléchargement. Ce modèle est destiné à toutes les plates-formes prises en charge.
    • Modèle pour l’URL d’inscription : choisissez Invitation d’inscription.
    • Modèle pour la confirmation d’inscription : choisissez Confirmation d’inscription.
    • Expire après : ce champ est défini lorsque vous configurez le mode d’inscription et indique quand l’inscription expire. Pour plus d’informations sur la configuration des modes d’inscription, veuillez consulter la section Configurer les modes d’inscription.
    • Nbre max de tentatives : ce champ est défini lorsque vous configurez le Mode d’inscription et indique le nombre maximal de tentatives du processus d’inscription.
    • Envoyer invitation : sélectionnez ON pour envoyer l’invitation immédiatement. Sélectionnez OFF pour ajouter l’invitation au tableau sur la page Invitations d’inscription, mais ne pas l’envoyer.
  2. Cliquez sur Enregistrer et Envoyer si vous avez activé Envoyer invitation. Sinon, cliquez sur Enregistrer. L’invitation apparaît dans le tableau sur la page Invitation d’inscription.

    Tableau sur la page d'invitations d'inscription

Pour envoyer un lien d’installation

Avant de pouvoir envoyer un lien d’installation de l’inscription, vous devez configurer les canaux (SMTP ou SMS) sur le serveur de notification à partir de la page Paramètres. Pour plus d’informations, consultez la section Notifications.

Écran de la page de lien Envoyer l'installation

  1. Configurez ces paramètres, puis cliquez sur Enregistrer.

    • Destinataire : pour chaque destinataire que vous souhaitez ajouter, cliquez sur Ajouter et procédez comme suit :
      • Adresse électronique : entrez l’adresse e-mail du destinataire. Ce champ est obligatoire.
      • Numéro de téléphone : entrez le numéro de téléphone de l’utilisateur. Ce champ est obligatoire.

      Remarque :

      Pour supprimer un destinataire, placez le curseur sur la ligne contenant la liste et cliquez sur l’icône de corbeille sur le côté droit. Une boîte de dialogue de confirmation s’affiche. Cliquez sur Supprimer pour supprimer la liste ou sur Annuler pour conserver la liste.

      Pour modifier un destinataire, placez le curseur sur la ligne contenant la liste et cliquez sur l’icône de crayon sur le côté droit. Mettez la liste à jour, puis cliquez sur Enregistrer pour enregistrer la nouvelle liste ou sur Annuler pour laisser la liste inchangée.

    • Canaux : sélectionnez un canal à utiliser pour envoyer le lien d’installation de l’inscription. Vous pouvez envoyer des notifications via SMTP ou SMS. Ces canaux (SMTP ou SMS) ne peuvent pas être activés tant que vous n’avez pas configuré les paramètres du serveur sur la page Paramètres dans Serveur de notification. Pour plus de détails, consultez Notifications.
    • SMTP : configurez ces paramètres facultatifs. Si vous ne renseignez pas ces champs, les valeurs par défaut spécifiées dans le modèle de notification configuré pour la plate-forme que vous avez sélectionnée sont utilisées :
      • Expéditeur : entrez un expéditeur (facultatif).
      • Sujet : entrez un sujet pour le message (facultatif). Par exemple, « inscription de votre appareil ».
      • Message : entrez le message à envoyer au destinataire (facultatif). Par exemple, « Inscrivez votre appareil pour accéder à la messagerie et aux applications de l’entreprise ».
    • SMS : configurez ce paramètre. Si vous ne renseignez pas ce champ, la valeur par défaut spécifiée dans le modèle de notification configuré pour la plate-forme que vous avez sélectionnée est utilisée :
      • Message : entrez le message à envoyer aux destinataires. Ce champ est obligatoire pour les notifications SMS.

        En Amérique du Nord, les messages SMS qui dépassent 160 caractères sont remis dans plusieurs messages.

  2. Cliquez sur Envoyer.

    Remarque :

    Si votre environnement utilise l’attribut sAMAccountName : après que les utilisateurs aient reçu l’invitation et cliqué sur le lien, ils doivent modifier le nom d’utilisateur pour compléter l’authentification. Le nom d’utilisateur apparaît sous la forme de sAMAccountName@domainname.com. Les utilisateurs doivent supprimer la partie @domainname.com.

Limite d’inscription d’appareils

Endpoint Management comprend un profil d’inscription par défaut permettant aux utilisateurs d’inscrire un nombre illimité d’appareils. Le profil par défaut est appelé Global. Créez des profils d’inscription uniquement si vous souhaitez limiter le nombre d’appareils que les utilisateurs peuvent inscrire. Vous pouvez associer les profils d’inscription à différents groupes de mise à disposition.

La limite d’inscription des appareils est disponible uniquement pour les appareils iOS et Android.

Lorsque votre déploiement Endpoint Management inclut des appareils Android Enterprise dédiés (également appelés appareils COSU), un seul administrateur ou un groupe restreint d’administrateurs Endpoint Management peut inscrire de nombreux appareils. Pour vous assurer que ces administrateurs peuvent inscrire tous les appareils requis, créez un profil d’inscription pour eux avec un nombre illimité d’appareils autorisés par utilisateur. Pour plus de détails, consultez la section Ajouter un profil d’inscription dédié (COSU) dans l’article Android Enterprise.

  1. Accédez à Configurer > Profils d’inscription. Le profil Global par défaut s’affiche.

    Écran du profil Global par défaut

  2. Pour ajouter un profil d’inscription, cliquez sur Ajouter. Sur la page Infos d’inscription, entrez un nom pour le profil d’inscription, puis sélectionnez le nombre d’appareils que les membres de ce profil peuvent inscrire.

    Écran des informations d'inscription

  3. Cliquez sur Suivant. L’écran Attribution de groupes de mise à disposition s’affiche.

    Écran d'attribution de groupes de mise à disposition

  4. Sélectionnez les groupes de mise à disposition pour ce profil d’inscription, puis cliquez sur Enregistrer.

    La page Groupes de mise à disposition s’affiche.

    Écran des groupes de mise à disposition

    Pour modifier les profils d’inscription associés à un groupe de mise à disposition, accédez à Configurer > Groupes de mise à disposition, puis cliquez sur Profils d’inscription.

    Écran des profils d'inscription

Expérience utilisateur avec une limite d’inscription d’appareils

Lorsque vous définissez la limite d’inscription d’appareils et que les utilisateurs tentent d’inscrire un appareil, ils procèdent comme suit :

  1. Ils se connectent à Secure Hub.

  2. Ils entrent une adresse de serveur pour s’inscrire.

  3. Ils entrent leurs informations d’identification.

  4. Si le nombre maximal d’appareils est atteint, un message d’erreur informe l’utilisateur qu’il a dépassé la limite d’enregistrement d’appareils.

    Écran d'inscription de Secure Hub

    L’écran d’inscription Secure Hub s’affiche de nouveau.

Actions de sécurisation

Vous pouvez exécuter des actions de sécurité au niveau de l’application et de l’appareil à partir de la page Gérer > Appareil. Vous pouvez exécuter les actions suivantes sur l’appareil : révoquer, verrouiller, déverrouiller et effacer. Vous pouvez exécuter les actions de sécurité suivantes sur les applications : mode kiosque (verrouillage des applications) et effacement des applications.

  • Contourner le verrouillage d’activation : supprime le verrouillage d’activation d’appareils iOS supervisés avant l’activation de l’appareil. Cette commande ne nécessite pas l’identifiant Apple ID ou le mot de passe personnel d’un utilisateur.

  • Mode kiosque : refuse l’accès à toutes les applications sur un appareil. Sur Android, après un verrouillage d’application, les utilisateurs ne peuvent pas se connecter à Endpoint Management. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.

  • Effacement des applications : sur Android, un effacement des applications supprime le compte utilisateur d’Endpoint Management. Sur iOS, supprime un compte d’utilisateur dans Secure Hub.

  • Verrouillage d’activation DEP ASM : crée un code de contournement du verrouillage d’activation pour les appareils iOS inscrits au programme DEP d’Apple School Manager.

  • Renouvellement de certificat : pour les appareils iOS, macOS et Android pris en charge, l’action de sécurité Renouvellement de certificat initie le renouvellement du certificat. Lors de la prochaine connexion d’appareils à Endpoint Management, Endpoint Management Server émet de nouveaux certificats d’appareils basés sur la nouvelle autorité de certification.

  • Effacer les restrictions : sur les appareils iOS supervisés, cette commande permet à Endpoint Management d’effacer le mot de passe de restrictions et les paramètres de restriction configurés par l’utilisateur.

  • Activer/Désactiver le mode perdu : place un appareil iOS supervisé en Mode perdu et envoie à l’appareil un message, un numéro de téléphone et une note de bas de page à afficher. La seconde fois que vous envoyez cette commande, l’appareil sort du mode perdu.

  • Activer le suivi : sur les appareils Android, cette commande permet à Endpoint Management d’interroger l’emplacement d’appareils spécifiques à une fréquence que vous définissez.

  • Effacement complet : efface immédiatement toutes les données et applications d’un appareil, y compris des cartes mémoire.

    • Pour les appareils Android, cette demande peut également inclure l’option d’effacement de cartes mémoire.

    • Pour les appareils iOS, macOS et tvOS, l’effacement se produit immédiatement, même si l’appareil est verrouillé.

      Pour les appareils iOS 11 (version minimale) : lorsque vous confirmez l’effacement complet, vous pouvez choisir de conserver le plan de données cellulaires sur l’appareil.

      Pour les appareils iOS 11.3 (version minimale) : lorsque vous confirmez l’effacement complet, vous pouvez empêcher les appareils iOS d’effectuer une configuration de proximité. Lors de la configuration d’un nouvel appareil iOS, les utilisateurs peuvent normalement utiliser un appareil iOS déjà configuré pour configurer le leur. Vous pouvez interdire la configuration de proximité sur les appareils qui sont gérés par Endpoint Management et qui ont été effacés.

    • Pour les appareils Windows Phone, un effacement complet supprime toutes les informations Endpoint Management ainsi que toutes les données utilisateur. Les données utilisateur supprimées comprennent le contenu personnel tel que les applications, e-mails, contacts et contenus multimédias.

    • Si l’utilisateur éteint l’appareil avant que le contenu de la carte mémoire soit supprimé, l’utilisateur peut toujours avoir accès aux données de l’appareil.

    • Vous pouvez annuler la demande d’effacement jusqu’à ce que la demande soit envoyée à l’appareil.

  • Localiser : localise un appareil et signale l’emplacement de l’appareil, accompagné d’une carte, sur la page Gérer > Appareils, sous Détails de l’appareil > Général. Pour les appareils Android Enterprise, cette requête échoue à moins que la Stratégie d’emplacement n’ait défini le mode de localisation de l’appareil sur Haute précision ou Économie de batterie.

  • Verrouiller : verrouille à distance un appareil, ce qui est utile lorsque vous perdez un appareil et que vous ne savez pas s’il a été volé. Ensuite, Endpoint Management génère un code PIN et le configure dans l’appareil. Pour accéder à l’appareil, l’utilisateur devra entrer ce code PIN. Utilisez Annuler le verrouillage pour retirer le verrouillage de la console Endpoint Management.

  • Verrouiller et réinitialiser le mot de passe : verrouille un appareil à distance et réinitialise le mot de passe.

    • Non pris en charge pour les appareils inscrits dans Android Enterprise en mode Profil de travail qui exécutent des versions Android antérieures à Android 7.0.
    • Sur les appareils inscrits dans Android Enterprise en mode Profil de travail qui exécutent Android 7.0 ou version ultérieure :
      • Le code secret envoyé verrouille le profil de travail. L’appareil n’est pas verrouillé.
      • Si aucun code secret n’est envoyé ou si le code secret envoyé ne répond pas aux exigences en matière de code secret et qu’aucun code secret n’est déjà défini sur le profil de travail, l’appareil est verrouillé.
      • Si aucun code secret n’est envoyé ou si le code secret envoyé ne répond pas aux exigences en matière de code secret, mais qu’un code secret est déjà défini sur le profil de travail, le profil de travail est verrouillé mais l’appareil ne l’est pas.
  • Notifier (sonnerie) : émet un son sur les appareils Android.

  • Redémarrer : redémarre les appareils Windows 10. Pour Windows Tablet et PC, le message « Le système va bientôt redémarrer » s’affiche, puis le redémarrage se produit dans les cinq minutes. Pour Windows Phone, le redémarrage se produit après quelques minutes sans message d’avertissement pour les utilisateurs.

  • Demander/Arrêter la mise en miroir AirPlay : démarre et arrête la mise en miroir AirPlay sur les appareils iOS supervisés.

  • Redémarrer/Arrêter : redémarre ou arrête immédiatement les appareils supervisés. tvOS prend en charge le redémarrage mais pas l’arrêt.

  • Révoquer : permet d’empêcher un appareil de se connecter à Endpoint Management.

  • Révoquer/Autoriser (iOS, macOS, tvOS) : effectue les mêmes actions que l’effacement des données d’entreprise. Après la révocation, vous pouvez ré-autoriser l’appareil pour le réinscrire.

  • Faire sonner : si un appareil iOS supervisé est en Mode perdu, cette option le fait sonner. L’appareil sonne jusqu’à ce qu’il soit retiré du mode perdu ou que l’utilisateur désactive le son.

  • Effacer les données d’entreprise : efface toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles. Après l’effacement des données d’entreprise, un utilisateur peut réinscrire l’appareil.

    • L’effacement des données d’entreprise d’un appareil Android ne déconnecte pas l’appareil de Device Manager et du réseau d’entreprise. Pour empêcher l’appareil d’accéder à Device Manager, vous devez également révoquer les certificats de l’appareil.
    • Si l’API Samsung Knox est activée, l’effacement sélectif de l’appareil supprime également le conteneur Samsung Knox.
    • Pour les appareils iOS et macOS, cette commande supprime le profil installé via MDM.
    • Un effacement des données d’entreprise sur un appareil Windows supprime également le contenu du dossier de profil de tout utilisateur connecté à l’appareil à ce moment-là. Un effacement des données d’entreprise ne supprime pas les clips Web que vous mettez à la disposition des utilisateurs via une configuration. Pour supprimer les clips Web, les utilisateurs doivent désinscrire manuellement leurs appareils. Vous ne pouvez pas réinscrire un appareil dont les données d’entreprise ont été effacées.
    • L’effacement sélectif d’un appareil Windows Phone supprime le jeton d’entreprise qui permet à Endpoint Management d’installer des applications sur l’appareil. L’effacement supprime également tous les certificats et toutes les configurations d’Endpoint Management déployés sur l’appareil. Vous ne pouvez pas réinscrire un appareil Windows Phone dont les données d’entreprise ont été effacées.
    • L’effacement des données d’entreprise d’un appareil Android révoque également l’appareil. Vous ne pouvez réinscrire l’appareil qu’après l’avoir réautorisé ou supprimé de la console.
  • Déverrouiller : efface le code secret envoyé à l’appareil lorsqu’il a été verrouillé. Cette commande ne déverrouille pas l’appareil.

Dans Gérer > Appareils, la page Détails de l’appareil dresse également la liste des propriétés de sécurité de l’appareil. Ces propriétés incluent ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

Vous pouvez automatiser certaines actions. Pour de plus amples informations, consultez la section Actions automatisées.

Supprimer un appareil de la console Endpoint Management

Important :

Lorsque vous supprimez un appareil de la console Endpoint Management, les applications gérées et les données restent sur l’appareil. Pour supprimer les applications gérées et les données de l’appareil, consultez la section « Supprimer un appareil » plus loin dans cet article.

Pour supprimer un appareil de la console Endpoint Management, accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Supprimer.

Option Supprimer

Effacer les données d’entreprise d’un appareil

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Dans Actions de sécurisation, cliquez sur Effacer les données d’entreprise.

  3. Pour les appareils Android uniquement, déconnectez l’appareil du réseau d’entreprise : une fois que l’appareil a été effacé, dans Actions de sécurisation, cliquez sur Révoquer.

    Pour annuler une demande d’effacement des données d’entreprise avant qu’il ne soit exécuté, dans Actions de sécurisation, cliquez sur Annuler l’effacement des données d’entreprise.

Supprimer un appareil

Cette procédure supprime les applications gérées et les données de l’appareil et supprime l’appareil de la liste d’appareils dans la console Endpoint Management.

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Cliquez sur Effacer les données d’entreprise. Lorsque vous y êtes invité, cliquez sur Effacer les données d’entreprise de l’appareil.

  3. Pour vérifier que la commande d’effacement a réussi, actualisez Gérer > Appareils. Dans la colonne Mode, la couleur ambre pour MAM et MDM indique que la commande d’effacement a réussi.

    Commande de nettoyage réussie

  4. Sur la page Gérer > Appareils, sélectionnez un appareil et cliquez sur Supprimer. Lorsque vous y êtes invité, cliquez de nouveau sur Supprimer.

Verrouiller, déverrouiller, effacer ou annuler l’effacement des applications

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Dans Actions de sécurisation, cliquez sur l’action d’application.

    Vous pouvez également utiliser la boîte de dialogue Actions de sécurisation pour vérifier l’état de l’appareil d’un utilisateur dont le compte a été désactivé ou supprimé dans Active Directory. La présence des actions Annuler le mode kiosque ou Annuler effacement des applications indique que les applications sont verrouillées ou effacées.

Obtenir des informations sur les appareils

La base de données d’Endpoint Management stocke une liste des appareils mobiles. Un numéro de série unique ou un numéro IMEI (identité internationale d’équipement mobile)/MEID (identifiant de l’équipement mobile) identifie chaque appareil mobile de manière unique. Pour renseigner la console Endpoint Management avec vos appareils, vous pouvez ajouter les appareils manuellement ou importer une liste d’appareils à partir d’un fichier. Consultez la section Formats des fichiers de provisioning pour de plus amples informations sur les formats de fichier de provisioning.

La page Gérer > Appareils de la console Endpoint Management répertorie chaque appareil et les informations suivantes :

  • État : les icônes indiquent si l’appareil est jailbreaké, géré, si ActiveSync Gateway est disponible et l’état du déploiement.
  • Mode : indique le mode d’appareil, tel que MDM ou MDM+MAM.
  • D’autres informations sur l’appareil : Nom d’utilisateur, Plate-forme de l’appareil, Dernier accès et Jours d’inactivité. Ces en-têtes sont les en-têtes par défaut affichés.

Pour personnaliser le tableau Appareils, cliquez sur la flèche vers le bas sur le dernier en-tête. Ensuite, sélectionnez les en-têtes supplémentaires que vous voulez voir dans le tableau ou désactivez les en-têtes à supprimer.

Écran d'options de personnalisation du tableau des appareils

Vous pouvez ajouter des appareils manuellement, importer des appareils à partir d’un fichier de provisioning, modifier les détails de l’appareil, exécuter des actions de sécurité et envoyer des notifications aux appareils. Vous pouvez également exporter toutes les données de tableau d’un appareil dans un fichier .csv pour créer un rapport personnalisé. Le serveur exporte tous les attributs de l’appareil. Si vous appliquez des filtres, Endpoint Management les utilise lors de la création du fichier .csv.

Importer des appareils à partir d’un fichier de provisioning

Vous pouvez importer un fichier fourni par les opérateurs mobiles ou les fabricants de l’appareil, ou vous pouvez créer votre propre fichier de provisioning. Pour plus de détails, consultez la rubrique Formats des fichiers de provisioning dans cet article.

  1. Accédez à Gérer > Appareils et cliquez sur Importer. La boîte de dialogue Importer le fichier de provisioning apparaît.

    Boîte de dialogue Importer le fichier de provisioning

  2. Cliquez sur Choisir un fichier et accédez au fichier que vous souhaitez importer.

  3. Cliquez sur Importer. Le tableau Appareils répertorie le fichier importé.

  4. Pour modifier les informations sur l’appareil, sélectionnez-le, puis cliquez sur Modifier. Pour plus d’informations sur les pages Détails de l’appareil, consultez la section Obtenir des informations sur les appareils.

Envoyer une notification aux appareils

Vous pouvez envoyer des notifications aux appareils à partir de la page Appareils. Pour plus d’informations sur les notifications, veuillez consulter la section Notifications.

  1. Sur la page Gérer > Appareils sélectionnez l’appareil ou les appareils auxquels vous souhaitez envoyer une notification.

  2. Cliquez sur Notifier. La boîte de dialogue Notification s’affiche. Le champ Destinataires répertorie tous les appareils sélectionnés pour recevoir pour la notification.

    Boîte de dialogue Notification

  3. Pour configurer ces paramètres :

    • Modèles : dans la liste, cliquez sur le type de notification que vous souhaitez envoyer. Pour chaque modèle excepté le modèle Ad Hoc, les champs Sujet et Message sont renseignés avec le texte configuré pour le modèle que vous avez choisi.
    • Canaux : sélectionnez la méthode à utiliser pour envoyer le message. La valeur par défaut est SMTP et SMS. Cliquez sur les onglets pour afficher le format du message pour chaque canal.
    • Expéditeur : entrez un expéditeur (facultatif).
    • Sujet : entrez un sujet pour un message ad hoc.
    • Message : entrez le message pour un message ad hoc.
  4. Cliquez sur Notifier.

Exporter le tableau Appareils

  1. Filtrez le tableau Appareil en fonction de ce que vous souhaitez voir apparaître dans le fichier d’exportation.

  2. Cliquez sur le bouton Exporter au-dessus du tableau Appareils. Endpoint Management extrait les informations du tableau Appareils filtré et les convertit en fichier .csv.

  3. Ouvrez ou enregistrez le fichier .csv lorsque vous y êtes invité.

Identifier les appareils utilisateur manuellement

Vous pouvez manuellement identifier un appareil dans Endpoint Management de l’une des façons suivantes :

  • Durant le processus d’inscription basé sur invitation.
  • Durant le processus d’inscription via le portail en libre-service.
  • En ajoutant le propriétaire de l’appareil en tant que propriété d’appareil.

Vous avez la possibilité d’identifier l’appareil comme appartenant à la société ou à un employé. Lors de l’utilisation de l’aide du portail d’aide en libre-service pour inscrire un appareil, vous pouvez identifier l’appareil comme appartenant à la société ou à un employé. Vous pouvez également identifier un appareil manuellement, comme suit.

  1. Ajoutez une propriété à l’appareil à partir de l’onglet Appareils dans la console Endpoint Management.
  2. Ajoutez la propriété appelée Appartient à et choisissez Entreprise ou BYOD (appartenant à un employé).

    Écran de la propriété Appartient à

Rechercher des appareils

Pour une recherche plus rapide, la portée de recherche par défaut inclut les propriétés d’appareil suivantes :

  • Numéro de série
  • IMEI
  • Adresse MAC Wi-Fi
  • Adresse MAC Bluetooth
  • ID Active Sync
  • Nom d’utilisateur

Vous pouvez configurer la portée de recherche via une nouvelle propriété de serveur, include.device.properties.during.search, qui est définie par défaut sur false. Pour inclure toutes les propriétés d’appareil dans une recherche d’appareil, accédez à Paramètres > Propriétés du serveur et définissez le paramètre sur true.

Formats des fichiers de provisioning

De nombreux opérateurs mobiles ou fournisseurs d’appareils fournissent des listes d’appareils mobiles autorisés. Vous pouvez utiliser ces listes pour éviter d’avoir à entrer manuellement une longue liste d’appareils mobiles. Endpoint Management prend en charge un format de fichier d’importation commun à ces types d’appareils pris en charge : Android, iOS et Windows.

Un fichier de provisioning que vous créez manuellement et utilisez pour l’importation d’appareils sur Endpoint Management doit être au format suivant :

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

Gardez à l’esprit les considérations suivantes :

  • Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Noms et valeurs des propriétés d’appareil.
  • Utilisez le jeu de caractères UTF-8.
  • Utilisez un point-virgule (;) pour séparer les champs dans le fichier de provisioning. Si une partie d’un champ contient un point-virgule, elle doit être précédée d’une barre oblique inverse (\).

    Par exemple, pour cette propriété :

    propertyV;test;1;2

    utilisez une barre oblique inverse comme caractère d’échappement :

    propertyV\;test\;1\;2

  • Le numéro de série est requis pour les appareils iOS car le numéro de série est l’identifiant de l’appareil iOS.
  • Pour les autres plates-formes, vous devez inclure le numéro de série ou le numéro IMEI.
  • Les valeurs valides pour OperatingSystemFamily sont WINDOWS, ANDROID ou iOS.

Exemple de fichier de provisioning d’appareil

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

Chaque ligne du fichier décrit un appareil. La première entrée dans cet exemple signifie :

  • SerialNumber: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • OperatingSystemFamily: WINDOWS
  • PropertyName: propertyN
  • PropertyValue: propertyV\;test\;1\;2;prop 2

Appareils partagés

Endpoint Management vous permet de configurer des appareils que plusieurs utilisateurs peuvent partager. Cette fonctionnalité permet, par exemple, aux médecins hospitaliers d’utiliser tout appareil à portée pour accéder à des applications et des données plutôt que d’avoir à transporter un appareil spécifique. Il peut aussi être utile pour les employés travaillant en équipe dans des domaines tels que la force publique, le commerce et le secteur industriel de partager des appareils pour réduire le coût du matériel.

Points clés à propos des appareils partagés

Vous pouvez utiliser n’importe quel appareil iOS et Android pris en charge en tant qu’appareil partagé. Pour obtenir une liste des appareils pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Mode MDM

  • Disponible sur tablettes et smartphones iOS et Android. L’inscription au programme Device Enrollment Program (DEP) de base n’est pas prise en charge pour un appareil partagé Endpoint Management Enterprise. Utilisez une DEP autorisée pour inscrire un appareil partagé dans ce mode.
  • Types d’authentification non pris en charge : authentification de certificat client, le code PIN Citrix, Touch ID, l’entropie utilisateur et l’authentification à deux facteurs.

Mode MDM+MAM

  • Disponible uniquement sur tablettes iOS et Android.
  • Seule l’authentification par nom d’utilisateur et mot de passe Active Directory est prise en charge.
  • L’authentification de certificat client, le code de Secure Hub, Touch ID, l’entropie utilisateur et l’authentification à deux facteurs ne sont pas pris en charge.
  • Le mode MAM exclusif n’est pas pris en charge. Les appareils doivent s’inscrire en mode MDM.
  • Seuls Secure Mail, Secure Web et l’application mobile Citrix Files sont pris en charge. Les applications HDX ne sont pas prises en charge.
  • Les utilisateurs Active Directory sont les seuls utilisateurs pris en charge. Les utilisateurs et groupes locaux ne sont pas pris en charge.
  • Une réinscription est requise pour les appareils partagés en mode MDM exclusif afin de mettre à jour vers le mode MDM+MAM.
  • Les utilisateurs ne peuvent pas partager des applications natives sur les appareils.
  • Une fois les applications de productivité mobiles Citrix téléchargées lors de la première inscription, il est inutile de les télécharger à nouveau à chaque fois qu’un utilisateur se connecte sur l’appareil. Le nouvel utilisateur peut récupérer l’appareil, ouvrir une session, et se lancer.
  • Sur Android, afin d’isoler les données de chaque utilisateur pour des raisons de sécurité, activez la stratégie Disallow rooted devices de la console Endpoint Management.

Configuration requise pour l’inscription d’appareils partagés

Avant d’inscrire les appareils partagés, vous devez effectuer les opérations suivantes :

Conditions préalables pour le mode MDM+MAM

  1. Créez un groupe Active Directory nommé, par exemple, Shared Device Enrollers.
  2. Ajoutez à ce groupe les utilisateurs Active Directory qui vont inscrire des appareils partagés. Si vous souhaitez utiliser un nouveau compte à cette fin, créez un utilisateur Active Directory (par exemple sdenroll) et ajoutez cet utilisateur au groupe Active Directory.

Configuration d’un appareil partagé

Suivez les étapes ci-dessous pour configurer un appareil partagé.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
  2. Cliquez sur Contrôle d’accès basé sur rôle, puis cliquez sur Ajouter. La page Ajouter un rôle s’affiche.
  3. Créez un rôle utilisateur destiné à l’inscription d’appareils partagés, nommé Utilisateur pour inscription d’appareils partagés, disposant des autorisations Assistant d’inscription d’appareils partagés sous Accès autorisé. Veillez à développer Appareils dans Fonctionnalités de la console, puis sélectionnez Effacer les données d’entreprise d’un appareil. Ce paramètre garantit que les applications et les stratégies configurées à l’aide du compte de l’assistant d’inscription d’appareils partagés sont supprimées via Secure Hub lors de la désinscription de l’appareil.

    Pour Appliquer les autorisations, conservez le paramètre par défaut, qui est À tous les groupes d’utilisateurs, ou attribuez des autorisations à des groupes d’utilisateurs Active Directory spécifiques avec le paramètre À des groupes d’utilisateurs spécifiques.

    Options Appliquer les autorisations

    Cliquez sur Suivant pour passer à l’écran Attribution. Attribuez le rôle d’inscription d’appareil partagé que vous avez créé au groupe Active Directory que vous avez créé pour les utilisateurs destinés à l’inscription d’appareils partagés. Dans l’image suivante, citrix.lab est le domaine Active Directory et Shared Device Enrollers est le groupe Active Directory.

    Écran Attribution

  4. Créez un groupe de mise à disposition contenant les stratégies de base, les applications et les actions que vous voulez appliquer à l’appareil lorsqu’un utilisateur n’est pas connecté. Associez ensuite ce groupe de mise à disposition au groupe Active Directory de l’utilisateur d’inscription d’appareil partagé.

    Écran des paramètres des groupes de mise à disposition

  5. Installez Secure Hub sur l’appareil partagé et inscrivez-le sur Endpoint Management à l’aide du compte utilisateur d’inscription sur appareil partagé. Vous pouvez maintenant voir et gérer l’appareil dans la console Endpoint Management.

  6. Pour appliquer différentes stratégies ou pour fournir des applications supplémentaires aux utilisateurs authentifiés, vous devez créer un groupe de mise à disposition associé à ces utilisateurs et déployé uniquement sur des appareils partagés. Lors de la création de groupes, configurez des règles de déploiement pour vous assurer que les packages sont déployés sur des appareils partagés. Pour de plus amples informations, consultez la section Déployer des ressources.

  7. Pour arrêter le partage de l’appareil, effacez les données d’entreprise pour supprimer le compte utilisateur de l’inscription d’appareil partagé à partir de l’appareil. L’effacement des données d’entreprise supprime également toutes les applications et stratégies déployées sur l’appareil.

Expérience utilisateur relative à l’utilisation d’un appareil partagé

Mode MDM

Les utilisateurs voient uniquement les ressources qui leur sont disponibles, et leur expérience est la même sur chaque appareil partagé. Les stratégies et applications de l’inscription d’appareil partagé restent toujours sur l’appareil. Lorsqu’un utilisateur non inscrit sur les appareils partagés ouvre une session sur Secure Hub, les stratégies et applications de cette personne sont déployées sur l’appareil. Lorsque l’utilisateur se déconnecte, les stratégies et les applications qui diffèrent de celles requises pour l’inscription d’appareil partagé sont supprimées. Les ressources d’inscription d’appareil partagé restent intactes.

Mode MDM+MAM

Secure Mail et Secure Web sont déployés sur l’appareil lorsqu’ils sont inscrits par l’utilisateur d’inscription d’appareil partagé. Les données utilisateur sont conservées de manière sécurisée sur l’appareil. Les données ne sont pas affichées pour d’autres utilisateurs lorsqu’ils se connectent à Secure Mail ou Secure Web.

Un seul utilisateur à la fois peut se connecter à Secure Hub. L’utilisateur précédent doit se déconnecter pour que le prochain utilisateur puisse se connecter. Pour des raisons de sécurité, Secure Hub ne stocke pas les informations d’identification de l’utilisateur sur les appareils partagés, si bien que les utilisateurs doivent entrer leurs informations d’identification chaque fois qu’ils se connectent. Pour vous assurer qu’un nouvel utilisateur ne puisse pas accéder aux ressources destinées à l’utilisateur précédent, Secure Hub n’autorise pas les nouveaux utilisateurs à se connecter alors que des stratégies, applications et données associées à l’utilisateur précédent sont en cours de suppression.

L’inscription d’appareil partagé ne modifie pas le processus de mise à niveau des applications. Vous pouvez distribuer des mises à niveau aux utilisateurs d’appareils partagés comme vous le faites habituellement. Ces derniers peuvent alors mettre à niveau les applications directement sur leurs appareils.

Stratégies Secure Mail recommandées

  • Pour obtenir des performances Secure Mail optimales, définissez la Période de synchronisation maximale en fonction du nombre d’utilisateurs qui partagent l’appareil. Il n’est pas recommandé d’autoriser un nombre illimité de synchronisation.
Nombre d’utilisateurs partageant l’appareil Période de synchronisation maximale recommandée
21–25 1 semaine ou moins
6–20 2 semaines ou moins
5 ou moins 1 mois ou moins
  • Bloquez Activer l’exportation des contacts afin de ne pas divulguer les contacts d’un utilisateur aux autres utilisateurs qui partagent l’appareil.

  • Sur iOS, seuls les paramètres suivants peuvent être définis par utilisateur. Tous les autres paramètres sont communs à tous les utilisateurs qui partagent l’appareil :

    • Notifications
    • Signature
    • Absent(e) du bureau
    • Période de synchronisation des messages
    • S/MIME
    • Vérifier l’orthographe