Android SafetyNet

Vous pouvez configurer la fonctionnalité Android SafetyNet pour évaluer la compatibilité et la sécurité des appareils Android sur lesquels Secure Hub est installé. Android SafetyNet n’est pas disponible pour les déploiements MAM.

Lorsque cette fonctionnalité est activée, l’API SafetyNet Attestation examine les informations logicielles et matérielles sur un appareil pour créer un profil de cet appareil. L’API recherche ensuite le même profil dans une liste de modèles d’appareils qui ont passé avec succès le test de compatibilité Android. L’API utilise également ces informations pour déterminer si Secure Hub a été modifié par une source inconnue.

Lorsque la fonctionnalité Android SafetyNet est activée, Secure Hub envoie la requête de l’API SafetyNet Attestation aux services Google Play et le résultat est transmis à Endpoint Management. Endpoint Management met ensuite les informations sur l’appareil à jour avec les résultats de l’attestation. Vous pouvez définir des actions automatisées qui utilisent les résultats de l’attestation pour déclencher des actions sur l’appareil.

Pour plus d’informations sur le fonctionnement de l’API SafetyNet Attestation, consultez la section du guide du développeur Google Android relative à l’API SafetyNet Attestation.

Estimation du nombre de requêtes de l’API SafetyNet Attestation nécessaires

Les requêtes de l’API SafetyNet Attestation sont envoyées :

  • Lorsqu’un appareil est inscrit dans Endpoint Management.

  • Lors d’une authentification en ligne Secure Hub. Une authentification en ligne a lieu lorsqu’une session de serveur expire ou qu’un utilisateur se déconnecte du serveur, puis se reconnecte. Secure Hub invite l’utilisateur à envoyer des informations d’identification pour s’authentifier auprès du serveur.

  • Lorsqu’un appareil est redémarré.

  • À un intervalle que vous définissez, compris entre 24 et 1 000 heures.

Si votre déploiement Endpoint Management produit plus de 10 000 requêtes par jour, remplissez ce formulaire de demande de quota.

Obtention de la clé d’API SafetyNet

Pour activer Android SafetyNet dans Endpoint Management, vous avez besoin de la clé d’API SafetyNet.

  1. Connectez-vous à la console d’API Google avec les informations d’identification de votre compte d’administrateur Google.

  2. Accédez à la page Library.

  3. Recherchez « Android Device Verification API ». Image de la page d'API Google

  4. Cliquez sur Android Device Verification API. Image de la page d'API Google

  5. Si l’API n’est pas déjà activée, cliquez sur Enable. Image de la page d'API Google

  6. Cliquez sur Manage.

  7. Cliquez sur Create Credentials pour générer une clé d’API. Image de la page d'API Google

  8. Sélectionnez Android Device Verification et cliquez sur What credentials to I need. Cliquez ensuite sur Done. Image de la page d'API Google

  9. Dans la page Credentials, cliquez sur l’icône de copie en regard de la clé pour copier la clé. Image de la page d'API Google

  10. Enregistrez la clé affin de la coller dans la console Endpoint Management lorsque vous activez Android SafetyNet.

Activation d’Android SafetyNet

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Dans la page Paramètres, cliquez sur Android SafetyNet. Image de la page Paramètres avec Android SafetyNet sélectionné

  3. Pour configurer ces paramètres :

    • Clé API. Collez dans SafetyNet la clé API que vous avez obtenue depuis la console d’API Google.

    • Calendrier d’attestation en heures. Saisissez l’intervalle en heures auquel l’API SafetyNet Attestation évalue vos appareils Android. La valeur minimale est de 24 heures. La valeur maximale est de 1 000 heures. La valeur par défaut est de 24 heures. Image de la configuration d'Android SafetyNet

  4. Cliquez sur Enregistrer.

Affichage des résultats d’Android SafetyNet

Pour afficher les résultats de l’évaluation de l’API SafetyNet Attestation d’un appareil :

  1. Dans la console Endpoint Management, cliquez sur Gérer > Appareils.

  2. Sélectionnez les appareils Android pour afficher les résultats de l’API SafetyNet Attestation. Cliquez sur Afficher plus.

  3. Dans la page Détails de l’appareil, sélectionnez Propriétés.

  4. Les résultats s’affichent dans la section Sécurité. Image de la page Détails de l'appareil avec Android SafetyNet sélectionné

L’API SafetyNet Attestation renvoie ces états pour chaque appareil :

  • Correspondance de profil CTS de SafetyNet : si cette valeur est définie sur True, le profil correspond à un profil qui a passé avec succès la suite de tests de compatibilité Android (CTS). Si cette valeur est définie sur False, le profil de l’appareil ne correspond pas à un profil qui a passé avec succès la suite de tests de compatibilité Android.

  • Intégrité de base de SafetyNet : si cette valeur est définie sur True, l’API SafetyNet Attestation n’a trouvé aucune preuve de la modification de Secure Hub sur l’appareil par une source inconnue. Si cette valeur est définie sur False, Secure Hub sur l’appareil a été modifié par une source inconnue.

  • Dernier état connu de SafetyNet : cette valeur affiche le dernier état SafetyNet connu de l’appareil :

    • Succès : l’API SafetyNet Attestation n’a trouvé aucune preuve de la modification de Secure Hub sur l’appareil par une source inconnue.

    • LOCK_BOOTLOADER : l’utilisateur doit verrouiller le bootloader de l’appareil. Secure Hub sur l’appareil a été modifié par une source inconnue.

    • RESTORE_TO_FACTORY_ROM : l’utilisateur doit restaurer la ROM de sortie d’usine de l’appareil. Secure Hub sur l’appareil a été modifié par une source inconnue.