XenMobile Server : version actuelle

Actions de sécurisation

Vous pouvez exécuter des actions de sécurité au niveau de l’application et de l’appareil à partir de la page Gérer > Appareil. Vous pouvez exécuter les actions suivantes sur l’appareil : révoquer, verrouiller, déverrouiller et effacer. Vous pouvez exécuter les actions de sécurité suivantes sur les applications : mode kiosque (verrouillage des applications) et effacement des applications.

  • Contourner le verrouillage d’activation : supprime le verrouillage d’activation d’appareils iOS supervisés avant l’activation de l’appareil. Cette commande ne nécessite pas l’identifiant Apple ID ou le mot de passe personnel d’un utilisateur.

  • Mode kiosque : refuse l’accès à toutes les applications sur un appareil. Sur Android, après un verrouillage d’application, les utilisateurs ne peuvent pas se connecter à XenMobile. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.

  • Effacement des applications: supprime le compte d’utilisateur de Secure Hub et désinscrit l’appareil. Les utilisateurs ne peuvent pas se réinscrire tant que vous n’avez pas effectué l’action Annuler effacement des applications.

  • Verrouillage d’activation du programme de déploiement ASM : crée un code de contournement du verrouillage d’activation pour les appareils iOS inscrits au programme DEP Apple School Manager.

  • Effacer les restrictions : sur les appareils iOS supervisés, cette commande permet à XenMobile d’effacer le mot de passe de restrictions et les paramètres de restriction configurés par l’utilisateur.

  • Activer/Désactiver le mode perdu : place un appareil iOS supervisé en Mode perdu et envoie à l’appareil un message, un numéro de téléphone et une note de bas de page à afficher. La seconde fois que vous envoyez cette commande, l’appareil sort du mode perdu.

  • Activer le suivi : sur les appareils Android et iOS, cette commande permet à XenMobile d’interroger l’emplacement d’appareils spécifiques à une fréquence que vous définissez. Pour afficher les coordonnées et l’emplacement d’un appareil sur une carte, accédez à Gérer > Appareils, sélectionnez un appareil, puis cliquez sur Modifier. Les informations sur l’appareil se trouvent dans l’onglet Général, sous Sécurité. Utilisez Activer le suivi pour effectuer un suivi continu de l’appareil. Secure Hub signale périodiquement l’emplacement lorsque l’appareil est en cours d’exécution.

  • Effacement complet : efface immédiatement toutes les données et applications d’un appareil, y compris des cartes mémoire.

    • Pour les appareils Android, cette demande peut également inclure l’option d’effacement de cartes mémoire.

    • Pour les appareils Android Enterprise entièrement gérés avec profil de travail (appareils COPE), vous pouvez effectuer un effacement complet après qu’un effacement des données d’entreprise aura supprimé le profil de travail.

    • Pour les appareils iOS et macOS, l’effacement se produit immédiatement, même si l’appareil est verrouillé. Pour les appareils iOS 11 (version minimale) : lorsque vous confirmez l’effacement complet, vous pouvez choisir de conserver le plan de données cellulaires sur l’appareil.

    • Si l’utilisateur éteint l’appareil avant que le contenu de la carte mémoire soit supprimé, l’utilisateur peut toujours avoir accès aux données de l’appareil.

    • Vous pouvez annuler la demande d’effacement jusqu’à ce que la demande soit envoyée à l’appareil.

  • Localiser : localise un appareil et signale l’emplacement de l’appareil, accompagné d’une carte, sur la page Gérer > Appareils, sous Détails de l’appareil > Général. La fonction Localiser est une action unique. Utilisez Localiser pour afficher l’emplacement actuel de l’appareil au moment où vous exécutez l’action. Pour effectuer un suivi continu de l’appareil sur une période donnée, utilisez Activer le suivi.
    • Lorsque vous appliquez cette action aux appareils Android (sauf Android Enterprise) ou aux appareils Android Enterprise (appartenant à l’entreprise ou BYOD), tenez compte du comportement suivant :
      • La fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, XenMobile demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser.
    • Lorsque vous appliquez cette fonctionnalité à des appareils iOS ou Android Enterprise, tenez compte des limitations suivantes :
      • Pour les appareils Android Enterprise, cette requête échoue à moins que la stratégie d’appareil Localisation n’ait défini le mode de localisation de l’appareil sur Haute précision ou Économie de batterie.
      • Pour les appareils iOS, cette commande ne réussit que si les appareils sont en mode perdu MDM.
  • Verrouiller : verrouille à distance un appareil. Cette action est utile lorsque vous perdez un appareil et que vous ne savez pas s’il a été volé. Ensuite, XenMobile génère un code PIN et le configure dans l’appareil. Pour accéder à l’appareil, l’utilisateur devra entrer ce code PIN. Utilisez Annuler le verrouillage pour retirer le verrouillage de la console XenMobile.

  • Verrouiller et réinitialiser le mot de passe : verrouille un appareil à distance et réinitialise le mot de passe.

    • Non pris en charge pour les appareils inscrits dans Android Enterprise en mode Profil de travail qui exécutent des versions Android antérieures à Android 8.0.
    • Sur les appareils inscrits dans Android Enterprise en mode Profil de travail qui exécutent Android 8.0 ou version ultérieure :
      • Le code secret envoyé verrouille le profil de travail. L’appareil n’est pas verrouillé.
      • Si aucun code secret n’est envoyé ou si le code secret envoyé ne répond pas aux exigences en matière de code secret et qu’aucun code secret n’est déjà défini sur le profil de travail, l’appareil est verrouillé.
      • Si aucun code secret n’est envoyé ou si le code secret envoyé ne répond pas aux exigences en matière de code secret, mais qu’un code secret est déjà défini sur le profil de travail, le profil de travail est verrouillé mais l’appareil ne l’est pas.
  • Notifier (sonnerie) : émet un son sur les appareils Android.

  • Redémarrer : redémarre les appareils Windows 10 et Windows 11. Pour Windows Tablet et PC, le message « Le système va bientôt redémarrer » s’affiche, puis le redémarrage se produit dans les cinq minutes.

  • Demander/Arrêter la mise en miroir AirPlay : démarre et arrête la mise en miroir AirPlay sur les appareils iOS supervisés.

  • Redémarrer/Arrêter : redémarre ou arrête immédiatement les appareils iOS supervisés.

  • Révoquer : permet d’empêcher un appareil de se connecter à XenMobile Server.

  • Révoquer/Autoriser (iOS, macOS) : effectue les mêmes actions que l’effacement des données d’entreprise. Après la révocation, vous pouvez ré-autoriser l’appareil pour le réinscrire.

  • Faire sonner : si un appareil iOS supervisé est en Mode perdu, cette option le fait sonner. L’appareil sonne jusqu’à ce qu’il soit retiré du mode perdu ou que l’utilisateur désactive le son.

  • Effacer les données d’entreprise : efface toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles. Après l’effacement des données d’entreprise, un utilisateur peut réinscrire l’appareil.

    • L’effacement des données d’entreprise d’un appareil Android ne déconnecte pas l’appareil de Device Manager et du réseau d’entreprise. Pour empêcher l’appareil d’accéder à Device Manager, vous devez également révoquer les certificats de l’appareil.
    • L’effacement des données d’entreprise d’un appareil Android révoque également l’appareil. Vous ne pouvez réinscrire l’appareil qu’après l’avoir réautorisé ou supprimé de la console.
    • Pour les appareils Android Enterprise entièrement gérés avec profil de travail (appareils COPE), vous pouvez effectuer un effacement complet après qu’un effacement des données d’entreprise a supprimé le profil de travail. Vous pouvez également réinscrire l’appareil avec le même nom d’utilisateur. La réinscription de l’appareil recrée le profil de travail.
    • Si l’API Samsung Knox est activée, l’effacement sélectif de l’appareil supprime également le conteneur Samsung Knox.
    • Pour les appareils iOS et macOS, cette commande supprime le profil installé via MDM.
    • Un effacement des données d’entreprise sur un appareil Windows supprime également le contenu du dossier de profil de tout utilisateur connecté à l’appareil à ce moment-là. Un effacement des données d’entreprise ne supprime pas les clips Web que vous mettez à la disposition des utilisateurs via une configuration. Pour supprimer les clips Web, les utilisateurs doivent désinscrire manuellement leurs appareils. Vous ne pouvez pas réinscrire un appareil dont les données d’entreprise ont été effacées.
  • Déverrouiller : efface le code secret envoyé à l’appareil lorsqu’il a été verrouillé. Cette commande ne déverrouille pas l’appareil.

Dans Gérer > Appareils, la page Détails de l’appareil dresse également la liste des propriétés de sécurité de l’appareil. Ces propriétés incluent ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

Actions de sécurisation pour les appareils Android

Action de sécurisation Android (à l’exception des appareils Android Enterprise) Android Enterprise (BYOD) Android Enterprise (propriété de l’entreprise)
Mode kiosque Oui Non Non
Effacement des applications Oui Non Non
Effacer Oui Non Oui
Localiser Oui : pour les appareils exécutant Android 6.0+, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, XenMobile demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser. Oui : pour les appareils exécutant Android 6.0+, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, XenMobile demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser. Oui : pour les appareils exécutant Android 6.0+, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, XenMobile demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser.
Verrouiller Oui Oui Oui
Verrouiller et réinitialiser un mot de passe Oui Non Oui
Notifier (sonnerie) Oui Oui Oui
Révoquer Oui Oui Oui
Effacer les données d’entreprise Oui Oui Non

Actions de sécurisation pour les appareils iOS et macOS

Action de sécurisation iOS macOS
Contourner le verrouillage d’activation Oui Non
Mode kiosque Oui Non
Effacement des applications Oui Non
Verrouillage d’activation du programme de déploiement ASM Oui Non
Effacer les restrictions Oui Non
Activer/Désactiver le mode perdu Oui Non
Activer/Désactiver le suivi Oui Non
Effacer Oui Oui
Localiser Oui Non
Verrouiller Oui Oui
Faire sonner Oui Oui
Demander/Arrêter la mise en miroir AirPlay Oui Non
Redémarrer/Arrêter Oui Non
Révoquer/Autoriser Oui Oui
Effacer les données d’entreprise Oui Oui
Déverrouiller Oui Non

Actions de sécurisation pour les appareils Windows

Action de sécurisation Windows Tablet 10
Localiser Oui
Verrouiller Oui
Verrouiller et réinitialiser un mot de passe Non
Redémarrage Oui
Révoquer Oui
Faire sonner Non
Effacer les données d’entreprise Oui
Effacer Oui

Le reste de cet article fournit les étapes permettant d’effectuer différentes actions de sécurisation. Vous pouvez également automatiser certaines actions. Pour de plus amples informations, consultez la section Actions automatisées.

Verrouiller les appareils iOS

Vous pouvez verrouiller un appareil iOS perdu tout en affichant un message et un numéro de téléphone sur l’écran de verrouillage. Cette fonctionnalité est prise en charge sur les appareils exécutant iOS 7 et versions ultérieures.

Pour afficher un message et un numéro de téléphone sur un appareil verrouillé, définissez la stratégie Code secret définie sur true dans la console XenMobile. Ou bien les utilisateurs peuvent activer le code secret sur l’appareil manuellement.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil iOS que vous voulez verrouiller.

    Lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste d’appareils. Lorsque vous cliquez dans la liste, le menu d’options s’affiche sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Écran de confirmation des actions de sécurisation

  5. Si vous le souhaitez, entrez un message et un numéro de téléphone qui s’afficheront sur l’écran de verrouillage de l’appareil.

    Pour les iPads exécutant iOS 7 et versions ultérieures : iOS ajoute les mots « iPad perdu » au texte entré dans le champ Message.

    Pour les iPhones exécutant iOS 7 et versions ultérieures : si vous laissez le champ Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

  6. Cliquez sur Verrouiller l’appareil.

Retirer un appareil de la console XenMobile

Important :

Lorsque vous supprimez un appareil de la console XenMobile, les applications gérées et les données restent sur l’appareil. Pour supprimer les applications gérées et les données de l’appareil, consultez la section « Supprimer un appareil » plus loin dans cet article.

Pour supprimer un appareil de la console XenMobile, accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Supprimer.

Option Supprimer

Effacer les données d’entreprise d’un appareil

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Dans Actions de sécurisation, cliquez sur Effacer les données d’entreprise.

  3. Pour les appareils Android uniquement, déconnectez l’appareil du réseau d’entreprise : une fois que l’appareil a été effacé, dans Actions de sécurisation, cliquez sur Révoquer.

    Pour annuler une demande d’effacement des données d’entreprise avant qu’il ne soit exécuté, dans Actions de sécurisation, cliquez sur Annuler l’effacement des données d’entreprise.

Supprimer un appareil

Cette procédure supprime les applications gérées et les données de l’appareil et supprime l’appareil de la liste d’appareils dans la console XenMobile. Vous pouvez utiliser l’API REST publique Endpoint Management pour supprimer des appareils en bloc.

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Cliquez sur Effacer les données d’entreprise. Lorsque vous y êtes invité, cliquez sur Effacer les données d’entreprise de l’appareil.

  3. Pour vérifier que la commande d’effacement a réussi, actualisez Gérer > Appareils. Dans la colonne Mode, la couleur ambre pour MAM et MDM indique que la commande d’effacement a réussi.

    Commande de nettoyage réussie

  4. Sur la page Gérer > Appareils, sélectionnez un appareil et cliquez sur Supprimer. Lorsque vous y êtes invité, cliquez de nouveau sur Supprimer.

Verrouiller, déverrouiller, effacer ou annuler l’effacement des applications

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Dans Actions de sécurisation, cliquez sur l’action d’application.

    Vous pouvez également utiliser la boîte de dialogue Actions de sécurisation pour vérifier l’état de l’appareil d’un utilisateur dont le compte a été désactivé ou supprimé dans Active Directory. La présence des actions Annuler le mode kiosque ou Annuler effacement des applications indique que les applications sont verrouillées ou effacées.

Effacement et annuler effacement de l’application

  1. Accédez à Gérer > Appareils. Sélectionnez un appareil.

  2. Effacement des applications
    • Cliquez sur Sécuriser > Effacement des applications. Une boîte de dialogue contenant le message suivant s’affiche : Êtes-vous sûr de vouloir effacer les applications sur cet appareil ? Cliquez sur Effacement des applications.
  3. Annuler effacement des applications
    • Cliquez sur Sécuriser > Annuler effacement des applications. Une boîte de dialogue contenant le message suivant s’affiche : Êtes-vous sûr de vouloir annuler l’effacement des applications sur cet appareil ? Cliquez sur Annuler l’effacement des applications sur l’appareil.
  4. Ouvrez Secure Hub sur l’appareil et cliquez sur Magasin.

  5. Lancez Secure Hub.

Placer les appareils iOS en Mode perdu

La propriété d’appareil Mode perdu de XenMobile place un appareil iOS en Mode perdu. Contrairement au mode perdu géré d’Apple, le mode perdu de XenMobile Server ne nécessite pas qu’un utilisateur effectue une des actions suivantes pour activer la recherche de son appareil : configurer le paramètre Localiser mon iPhone/iPad ou activer les Services de géolocalisation pour Citrix Secure Hub.

Dans le mode perdu de XenMobile, seul XenMobile Server peut déverrouiller l’appareil. (En revanche, si vous utilisez la fonctionnalité de verrouillage d’appareil de XenMobile, les utilisateurs peuvent déverrouiller l’appareil directement à l’aide d’un code PIN que vous devez fournir.

Pour activer ou désactiver le Mode perdu : accédez à Gérer > Appareils, choisissez un appareil iOS supervisé et cliquez sur Sécurisé. Ensuite, cliquez sur Activer le mode perdu ou Désactiver le mode perdu.

Options du mode perdu

Si vous cliquez sur Activer le mode perdu, entrez les informations qui sont affichées sur l’appareil lorsqu’il est en mode perdu.

Informations à afficher sur un appareil

Pour vérifier l’état du mode perdu, utilisez une des méthodes suivantes :

  • Dans la fenêtre Actions de sécurisation, vérifiez si le bouton indique Désactiver le mode perdu.
  • Dans Gérer > Appareils, dans l’onglet Général sous Sécurité, consultez la dernière action Activer le mode perdu ou Désactiver le mode perdu.

Image de l'onglet General

  • Dans Gérer > Appareils, dans l’onglet Propriétés, vérifiez que la valeur du paramètre Mode perdu MDM activé est correcte.

Paramètre du Mode perdu MDM activé

Si vous activez le mode perdu de XenMobile sur un appareil iOS, la console XenMobile est également modifiée comme suit :

  • Dans Configurer > Actions, la liste Actions ne comprend pas ces actions automatiques : Révoquer l’appareil, Effacer les données d’entreprise de l’appareil et Effacer toutes les données de l’appareil.
  • Dans Gérer > Appareils, la liste Actions de sécurisation n’inclut plus les actions Révoquer et Effacer les données d’entreprise. Vous pouvez toujours utiliser une action de sécurité pour effectuer une action Effacement complet, si nécessaire.

Pour les iPads exécutant iOS 7 et versions ultérieures : iOS ajoute les mots « iPad perdu » au texte entré dans Message dans l’écran Actions de sécurisation.

Pour les iPhones exécutant iOS 7 et versions ultérieures : si vous laissez Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

Contourner un verrouillage d’activation iOS

Le verrouillage d’activation est une fonctionnalité de Localiser mon iPhone/iPad qui empêche la réactivation d’un appareil supervisé perdu ou volé. Le verrouillage d’activation requiert l’identifiant Apple et le mot de passe de l’utilisateur pour pouvoir désactiver Localiser mon iPhone/iPad, effacer l’appareil ou réactiver l’appareil. Pour les appareils qui sont la propriété de votre organisation, il est nécessaire de contourner le verrouillage d’activation pour, par exemple, réinitialiser ou réattribuer des appareils.

Pour activer le verrouillage d’activation, configurez et déployez la stratégie Options MDM de XenMobile. Vous pouvez ensuite gérer un appareil à partir de la console XenMobile sans les informations d’identification Apple de l’utilisateur. Pour contourner l’obligation d’entrer des informations d’identification Apple avec un verrou d’activation, émettez l’action de sécurisation Contourner le verrouillage d’activation depuis la console XenMobile.

Par exemple, si l’utilisateur retourne un téléphone perdu ou pour configurer l’appareil avant ou après un effacement complet : lorsque le téléphone invite à entrer les informations d’identification de compte iTunes, vous pouvez ignorer cette étape en émettant l’action de sécurité Contourner le verrouillage d’activation à partir de la console XenMobile.

Configuration requise pour le contournement du verrouillage d’activation

  • iOS 7.1 (version minimale)
  • Supervisé par Apple Configurator ou Apple DEP
  • Configuré avec un compte iCloud
  • Localiser mon iPhone/iPad activé
  • Inscrit dans XenMobile
  • Stratégie Options MDM, avec verrouillage d’activation activé, déployée sur les appareils

Pour contourner le verrouillage d’activation avant d’émettre un effacement complet de l’appareil :

  1. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  2. Effacez l’appareil. L’écran de verrouillage d’activation ne s’affiche pas lors de l’installation de l’appareil.

Pour contourner le verrouillage d’activation après avoir émis un effacement complet de l’appareil :

  1. Réinitialisez ou effacez l’appareil. L’écran de verrouillage d’activation s’affiche lors de l’installation de l’appareil.
  2. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  3. Cliquez sur le bouton Retour sur l’appareil. L’écran d’accueil s’affiche.

Gardez à l’esprit les considérations suivantes :

  • Conseillez à vos utilisateurs de ne pas désactiver Localiser mon iPhone/iPad. N’effacez pas complètement l’appareil. Dans ces deux cas, l’utilisateur est invité à entrer le mot de passe du compte iCloud. Après la validation du compte, l’utilisateur ne verra pas d’écran Activer iPhone/iPad après avoir effacé tout le contenu et les paramètres.
  • Pour un appareil avec un code de contournement de verrouillage d’activation généré et avec le verrouillage d’activation activé : si vous ne pouvez pas contourner la page Activer iPhone/iPad après un effacement complet, il n’est pas nécessaire de supprimer l’appareil de XenMobile. Vous ou l’utilisateur pouvez contacter l’assistance Apple pour débloquer l’appareil directement.
  • Lors d’un inventaire matériel, XenMobile interroge un appareil pour obtenir un code de contournement de verrouillage d’activation. Si un code de contournement est disponible, l’appareil l’envoie à XenMobile. Ensuite, pour supprimer le code de contournement de l’appareil, envoyez l’action de sécurisation Contourner le verrouillage d’activation à partir de la console XenMobile. À ce stade, XenMobile Server et Apple ont le code de contournement nécessaire pour débloquer l’appareil.
  • L’action de sécurisation Contourner le verrouillage d’activation repose sur la disponibilité d’un service d’Apple. Si l’action ne fonctionne pas, vous pouvez débloquer un appareil comme suit. Sur l’appareil, entrez manuellement les informations d’identification du compte iCloud. Ou, laissez le champ de nom d’utilisateur vide et tapez le code de contournement dans le champ de mot de passe. Pour rechercher le code de contournement, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Modifier et cliquez sur Propriétés. Le Code de contournement du verrouillage d’activation se trouve sous Informations de sécurité.