Liste des paramètres d’appareil Android Entreprise pour autoriser ou restreindre les fonctionnalités sur les appareils appartenant à l’entreprise à l’aide de Intune
Cet article décrit les différents paramètres que vous pouvez contrôler et restreindre sur les appareils Android Enterprise appartenant à votre organization. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour autoriser ou désactiver des fonctionnalités, exécuter des applications sur des appareils dédiés, contrôler la sécurité, etc.
Cette fonctionnalité s’applique à :
- Profil professionnel Android Enterprise appartenant à l’entreprise (COPE)
- Appareils Android Entreprise complètement gérés appartenant à l’entreprise (COBO)
- Appareils Android Entreprise dédiés appartenant à l’entreprise (COSU)
Conseil
- Pour les appareils AOSP, accédez à Paramètres d’appareil Android (AOSP) pour autoriser ou restreindre les fonctionnalités à l’aide de Intune.
- Pour les appareils Android Entreprise appartenant à l’utilisateur avec profil professionnel (BYOD), accédez à Paramètres d’appareil Android Entreprise pour autoriser ou restreindre les fonctionnalités sur les appareils personnels à l’aide de Intune.
Avant de commencer
Créez un profil de configuration de restrictions d’appareil Android.
Profil professionnel entièrement managé, dédié et appartenant à l’entreprise
Ces paramètres s’appliquent aux types d’inscription Android Entreprise où Intune contrôle l’ensemble de l’appareil, tels que les appareils avec profil professionnel Android Entreprise entièrement managés, dédiés et appartenant à l’entreprise.
Certains paramètres ne sont pas pris en charge par tous les types d’inscription. Pour afficher les paramètres pris en charge par les différents types d’inscription, connectez-vous au centre d’administration Intune. Chaque paramètre se trouve sous un en-tête qui indique les types d’inscription qui peuvent utiliser le paramètre.
Pour les appareils appartenant à l’entreprise avec un profil professionnel, certains paramètres s’appliquent uniquement au profil professionnel. Ces paramètres ont (au niveau du profil professionnel) dans le nom du paramètre. Pour les appareils entièrement managés et dédiés, ces paramètres s’appliquent à l’ensemble de l’appareil.
Généralités
Appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise
Capture d’écran (au niveau du profil professionnel) : Bloquer empêche les captures d’écran ou les captures d’écran sur l’appareil. Il empêche également l’affichage du contenu sur les appareils d’affichage qui n’ont pas de sortie vidéo sécurisée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de capturer le contenu de l’écran sous forme d’image.
Caméra (au niveau du profil professionnel) : Bloquer empêche l’accès à la caméra sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’accès à la caméra.
Intune gère uniquement l’accès à la caméra de l’appareil. Il n’a pas accès aux images ou vidéos.
Stratégie d’autorisation par défaut (au niveau du profil professionnel) : ce paramètre définit la stratégie d’autorisation par défaut pour les demandes d’autorisations d’exécution. Vos options
- Valeur par défaut de l’appareil (par défaut) : utilisez le paramètre par défaut de l’appareil.
- Invite : les utilisateurs sont invités à approuver l’autorisation.
- Octroi automatique : les autorisations sont automatiquement accordées.
- Refus automatique : les autorisations sont automatiquement refusées.
Modifications de date et d’heure : Bloquer empêche les utilisateurs de définir manuellement la date et l’heure. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à définir la date et l’heure sur l’appareil.
Services de données itinérants : Bloquer empêche l’itinérance des données sur le réseau cellulaire. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’itinérance des données lorsque l’appareil se trouve sur un réseau cellulaire.
Configuration du point d’accès Wi-Fi : Bloquer empêche les utilisateurs de créer ou de modifier des configurations Wi-Fi. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à modifier les paramètres Wi-Fi sur l’appareil.
Configuration Bluetooth : Bloquer empêche les utilisateurs de configurer Bluetooth sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de Bluetooth sur l’appareil.
Connexion et accès aux points d’accès : Bloquer empêche la connexion et l’accès aux points d’accès portables. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la connexion et l’accès aux points d’accès portables.
Transfert de fichiers USB : Bloquer empêche le transfert de fichiers via USB. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le transfert de fichiers.
Média externe : Bloquer empêche l’utilisation ou la connexion d’un média externe sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les médias externes sur l’appareil.
Transmettre des données à l’aide de NFC (niveau de profil professionnel) : Bloquer empêche l’utilisation de la technologie NFC (Near Field Communication) pour transmettre des données à partir d’applications. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de NFC pour partager des données entre les appareils.
Paramètres du développeur : choisissez Autoriser pour permettre aux utilisateurs d’accéder aux paramètres du développeur sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’accéder aux paramètres du développeur sur l’appareil.
Réglage du microphone : Bloquer empêche les utilisateurs de réactiver le microphone et d’ajuster le volume du microphone. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’utiliser et d’ajuster le volume du microphone sur l’appareil.
E-mails de protection contre la réinitialisation des paramètres d’usine : choisissez adresses e-mail de compte Google. Entrez les adresses e-mail des administrateurs d’appareils qui peuvent déverrouiller l’appareil après sa réinitialisation. Veillez à séparer les adresses e-mail par un point-virgule, tel que
admin1@gmail.com;admin2@gmail.com
. Ces e-mails s’appliquent uniquement lorsqu’une réinitialisation aux paramètres d’usine non utilisateur est exécutée, comme l’exécution d’une réinitialisation aux paramètres d’usine à l’aide du menu de récupération.Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.
Mise à jour du système : choisissez une option pour définir la façon dont l’appareil gère les mises à jour ota. Vos options
Valeur par défaut de l’appareil (par défaut) : utilisez le paramètre par défaut de l’appareil. Par défaut, si l’appareil est connecté au Wi-Fi, qu’il est en cours de chargement et qu’il est inactif, le système d’exploitation est automatiquement mis à jour. Pour les mises à jour d’application, le système d’exploitation vérifie également si l’application ne s’exécute pas au premier plan.
Automatique : Mises à jour sont automatiquement installés sans interaction de l’utilisateur. La définition de cette stratégie installe immédiatement toutes les mises à jour en attente.
Report : Mises à jour sont reportées de 30 jours. À la fin des 30 jours, Android invite les utilisateurs à installer la mise à jour. Il est possible pour les fabricants ou les opérateurs d’appareils d’empêcher (exempter) les mises à jour de sécurité importantes d’être reportées. Une mise à jour exemptée affiche une notification système aux utilisateurs sur l’appareil.
Fenêtre de maintenance : installe automatiquement les mises à jour pendant une fenêtre de maintenance quotidienne que vous définissez dans Intune. L’installation tente quotidiennement pendant 30 jours et peut échouer si l’espace ou les niveaux de batterie sont insuffisants. Après 30 jours, Android invite les utilisateurs à installer.
Ce paramètre s’applique aux mises à jour du système d’exploitation et de l’application Play Store. Toute fenêtre de maintenance est prioritaire sur les modifications d’appareil en cours.
Utilisez cette option pour les appareils dédiés, tels que les kiosques, car les applications d’appareil dédié à application unique peuvent être mises à jour.
Geler les périodes pour les mises à jour système : facultatif. Lorsque vous définissez le paramètre Mise à jour du système sur Automatique, Différé ouFenêtre de maintenance, utilisez ce paramètre pour créer une période de gel :
-
Date de début : entrez la date de début au
MM/DD
format jusqu’à 90 jours. Par exemple, entrez11/15
pour commencer la période de gel le 15 novembre. -
Date de fin : entrez la date de fin au
MM/DD
format jusqu’à 90 jours. Par exemple, entrez01/15
pour mettre fin à la période de gel le 15 janvier.
Pendant cette période de gel, toutes les mises à jour système entrantes et les correctifs de sécurité sont bloqués, y compris la vérification manuelle des mises à jour.
Lorsque l’horloge d’un appareil est en dehors de la période de gel, l’appareil continue de recevoir des mises à jour en fonction de votre paramètre de mise à jour système .
Pour définir plusieurs périodes de gel périodiques annuelles, assurez-vous que les périodes de gel sont séparées par au moins 60 jours.
Ce paramètre s’applique à :
- Android 9.0 et versions ultérieures
-
Date de début : entrez la date de début au
Emplacement : Bloquer désactive le paramètre Emplacement sur l’appareil et empêche les utilisateurs de l’activer. Lorsque ce paramètre est désactivé, tout autre paramètre qui dépend de l’emplacement de l’appareil est affecté, notamment l’action à distance Localiser l’appareil que les administrateurs utilisent. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de l’emplacement sur l’appareil.
Appareils entièrement managés et dédiés
Modifications de volume : Bloquer empêche les utilisateurs de modifier le volume de l’appareil et désactive également le volume main. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation des paramètres de volume sur l’appareil.
Réinitialisation aux paramètres d’usine : Bloquer empêche les utilisateurs d’utiliser l’option de réinitialisation aux paramètres d’usine dans les paramètres de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à utiliser ce paramètre sur l’appareil.
Barre d’état : Bloquer empêche l’accès à la barre d’status, y compris les notifications et les paramètres rapides. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à accéder à la barre status.
Modifications des paramètres Wi-Fi : Bloquer empêche les utilisateurs de modifier Wi-Fi paramètres créés par le propriétaire de l’appareil. Les utilisateurs peuvent créer leurs propres configurations Wi-Fi. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à modifier les paramètres Wi-Fi sur l’appareil.
Stockage USB : choisissez Autoriser pour accéder au stockage USB sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher l’accès au stockage USB.
Hachure d’échappement réseau : Activer permet aux utilisateurs d’activer la fonctionnalité de hachure d’échappement réseau. Si aucune connexion réseau n’est établie au démarrage de l’appareil, la trappe d’échappement demande de se connecter temporairement à un réseau et d’actualiser la stratégie de l’appareil. Une fois que vous avez appliqué la stratégie, le réseau temporaire est oublié et l’appareil continue de démarrer. Cette fonctionnalité connecte des appareils à un réseau si :
- Il n’existe pas de réseau approprié dans la dernière stratégie.
- L’appareil démarre dans une application en mode de tâche de verrouillage.
- Les utilisateurs ne peuvent pas accéder aux paramètres de l’appareil.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’activer la fonctionnalité de trappe d’échappement réseau sur l’appareil.
Fenêtres de notification : lorsque la valeur est Désactivée, les notifications de fenêtre, y compris les toasts, les appels entrants, les appels sortants, les alertes système et les erreurs système ne sont pas affichées sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher des notifications.
Ignorer la première utilisation des indicateurs : activer masque ou ignore les suggestions des applications qui parcourent les didacticiels ou les conseils au démarrage de l’application. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher ces suggestions au démarrage de l’application.
Appareils avec profil professionnel entièrement gérés et appartenant à l’entreprise
- Localiser l’appareil : Autoriser permet aux administrateurs de localiser les appareils perdus ou volés à l’aide d’une action à distance. Lorsqu’il est défini sur Autoriser, les utilisateurs finaux reçoivent une notification unique indiquant que Intune dispose d’autorisations d’emplacement. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la localisation des appareils à l’aide de la géolocalisation.
Appareils entièrement gérés et dédiés (mode plein écran uniquement)
Menu du bouton Marche/Arrêt : Bloquer masque les options d’alimentation lorsque les utilisateurs maintiennent le bouton d’alimentation enfoncé en mode plein écran. Le masquage de ces options empêche les utilisateurs d’arrêter accidentellement ou intentionnellement des appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, lorsque les utilisateurs maintiennent le bouton Marche/Arrêt enfoncé sur un appareil, les options d’alimentation s’affichent, telles que Redémarrer et Mettre hors tension.
Ce paramètre s’applique à :
- Android 9.0 et versions ultérieures
Avertissements d’erreur système : Autoriser affiche les avertissements système à l’écran en mode plein écran, y compris les applications qui ne répondent pas et les avertissements système. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut masquer ces avertissements. Quand l’un de ces événements se produit, le système force l’application à se fermer.
Ce paramètre s’applique à :
- Android 9.0 et versions ultérieures
Fonctionnalités de navigation système activées : autoriser les utilisateurs à accéder aux boutons d’accueil et de vue d’ensemble de l’appareil en mode plein écran. Les options disponibles sont les suivantes :
Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver les boutons Accueil et Vue d’ensemble de l’appareil.
Bouton Accueil uniquement : les utilisateurs peuvent voir et sélectionner le bouton d’accueil. Ils ne peuvent pas voir ou sélectionner les boutons de vue d’ensemble.
Boutons Accueil et vue d’ensemble : les utilisateurs peuvent voir et sélectionner les boutons Accueil et Vue d’ensemble.
Lorsqu’un appareil est inscrit et qu’il utilise l’application Managed Home Screen, l’activation du bouton Vue d’ensemble permet aux utilisateurs finaux d’ignorer ou d’ignorer les écrans de connexion et de code confidentiel de session. Les écrans sont toujours affichés, mais les utilisateurs peuvent les ignorer et ne sont pas tenus d’entrer quoi que ce soit.
Ce paramètre s’applique à :
- Android 9.0 et versions ultérieures
Notifications et informations système : autoriser les utilisateurs à accéder à la barre de status de l’appareil et à recevoir des notifications de la barre de status en mode plein écran. Les options disponibles sont les suivantes :
- Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver la barre de status et désactiver les notifications dans la barre de status.
- Afficher les informations système dans la barre de status de l’appareil : les utilisateurs peuvent voir les informations système dans la barre de status. Les utilisateurs ne peuvent pas voir ou recevoir de notifications à partir de la barre de status.
- Afficher les notifications et informations système dans la barre de status de l’appareil : les utilisateurs peuvent voir les informations système et recevoir des notifications à partir de la barre de status. Pour afficher les notifications, activez le bouton d’accueil de l’appareil à l’aide du paramètre Fonctionnalités de navigation système activées .
Ce paramètre s’applique à :
- Android 9.0 et versions ultérieures
Accès de l’utilisateur final aux paramètres de l’appareil : Bloquer empêche les utilisateurs d’accéder à l’application Paramètres et empêche d’autres applications en mode plein écran d’ouvrir l’application Paramètres. Si l’appareil est un kiosque, définissez ce paramètre sur Bloquer.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à accéder aux paramètres et autoriser les applications en mode plein écran à ouvrir l’application Paramètres.
Ce paramètre s’applique à :
- Android 9.0 et versions ultérieures
Appareils dédiés
- Localiser l’appareil : Bloquer empêche les administrateurs de localiser les appareils perdus ou volés à l’aide d’une action à distance. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la localisation des appareils à l’aide de la géolocalisation.
Appareils avec profil professionnel appartenant à l’entreprise
Partage de contacts via Bluetooth (niveau profil professionnel) : Bloquer empêche les utilisateurs de partager leurs contacts de profil professionnel avec des appareils via Bluetooth. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à partager leurs contacts via Bluetooth.
Rechercher des contacts professionnels et afficher l’id de l’appelant du contact professionnel dans le profil personnel : Dans le profil personnel, Bloquer empêche les utilisateurs de rechercher des contacts professionnels et d’afficher des informations d’ID d’appelant professionnel.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la recherche de contacts professionnels et afficher les ID d’appelant professionnel.
Copier et coller entre les profils professionnels et personnels : Autoriser permet aux utilisateurs de copier et coller des données entre les profils professionnels et personnels.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut :
- Empêcher les utilisateurs de coller du texte dans le profil personnel copié à partir du profil professionnel.
- Autorisez les utilisateurs à copier du texte à partir du profil personnel et à le coller dans le profil professionnel.
- Autorisez les utilisateurs à copier du texte à partir du profil professionnel et à le coller dans le profil professionnel.
Partage de données entre les profils professionnels et personnels : choisissez si les données peuvent être partagées entre les profils professionnels et personnels. Les options disponibles sont les suivantes :
- Valeur par défaut de l’appareil : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs de partager des données dans le profil professionnel avec le profil personnel. Les données du profil personnel peuvent être partagées dans le profil professionnel.
- Bloquer tout partage entre les profils : empêche les utilisateurs de partager des données entre les profils professionnels et personnels.
- Bloquer le partage du profil professionnel vers le profil personnel : empêche les utilisateurs de partager des données dans le profil professionnel avec le profil personnel. Les données du profil personnel peuvent être partagées avec le profil professionnel.
- Aucune restriction sur le partage : les données peuvent être partagées entre les profils professionnels et personnels.
Sécurité système
Analyse des menaces sur les applications : Exiger (par défaut) permet à Google Play Protect d’analyser les applications avant et après leur installation. S’il détecte une menace, il peut avertir les utilisateurs de supprimer l’application de l’appareil. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas activer ou exécuter Google Play Protect pour analyser les applications.
Mode Critères communs : Exiger permet d’obtenir un ensemble élevé de normes de sécurité qui sont le plus souvent utilisées dans les organisations hautement sensibles, telles que les établissements gouvernementaux. Ces paramètres incluent, sans s’y limiter , les suivants :
- Chiffrement AES-GCM des clés Bluetooth à long terme
- Magasins de configuration Wi-Fi
- Bloque le mode de téléchargement du chargeur de démarrage, la méthode manuelle pour les mises à jour logicielles
- Impose une remise à zéro de clé supplémentaire lors de la suppression de clé
- Empêche les connexions Bluetooth non authentifiées
- Exige que les mises à jour FOTA aient une signature RSA-PSS 2048 bits
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.
En savoir plus sur les Critères communs :
- Critères communs pour l’évaluation de la sécurité des technologies de l’information sur commoncriteriaportal.org
- CommonCriteriaMode dans la documentation de l’API de gestion Android.
- Knox Deep Dive : mode Critères communs sur samsungknox.com
Expérience de l’appareil
Utilisez ces paramètres pour configurer une expérience de type kiosque sur vos appareils dédiés ou complètement gérés, ou pour personnaliser les expériences de l’écran d’accueil sur vos appareils entièrement gérés. Si vous ne savez pas quelle expérience configurer, le diagramme ci-dessous peut vous aider à choisir l’option appropriée pour vos appareils. Si vous n’êtes toujours pas certain, consultez Sélection d’une expérience d’écran d’accueil pour vos appareils Android Enterprise appartenant à l’entreprise.
Type d’expérience d’appareil : sélectionnez un type d’expérience d’appareil pour commencer à configurer Microsoft Launcher ou microsoft Managed Home Screen sur vos appareils. Les options disponibles sont les suivantes :
Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs peuvent voir l’expérience d’écran d’accueil par défaut de l’appareil.
Mode plein écran (dédié et complètement géré) : configurez une expérience de type kiosque sur vos appareils dédiés et entièrement gérés. Vous pouvez configurer des appareils pour qu’ils exécutent une seule application ou plusieurs applications. Lorsqu’un appareil est défini avec le mode plein écran, seules les applications que vous ajoutez sont disponibles. Avant de configurer ces paramètres, veillez à ajouter et à affecter les applications souhaitées sur les appareils.
Mode plein écran : choisissez si l’appareil exécute une application ou plusieurs applications.
Remarque
Lorsque vous utilisez le mode plein écran (application unique ou multiapplication), par défaut, la plateforme désactive les interfaces utilisateur et les flux de travail familiers. Certaines de ces fonctionnalités peuvent être réactivé sur OS 9 et versions ultérieures. Par exemple, lorsqu’un appareil fonctionne dans un état plein écran, le système modifie certains comportements, notamment :
- La barre de status de l’appareil est supprimée de la vue. Les informations et notifications système sont masquées aux utilisateurs finaux.
- Les boutons de navigation de l’appareil, comme les boutons Accueil et Vue d’ensemble, sont désactivés et supprimés de la vue d’ensemble.
- L’écran de verrouillage de l’appareil, comme le garde-clés, est désactivé.
Pour utiliser le numéroteur & applications téléphoniques, ou pour que vos utilisateurs reçoivent des notifications Push en mode plein écran, utilisez les appareils Entièrement gérés et Dédiés (mode plein écran uniquement>Fonctionnalités de navigation système activées (avec les options de bouton Accueil ) et les paramètres Notifications et informations système (dans cet article). Ces fonctionnalités sont disponibles sur les appareils Android exécutant la version 9.0 et les versions ultérieures.
Sur OS 9 et versions ultérieures, le paramètre Mot de passe> del’appareil Désactiver l’écran de verrouillage (dans cet article) gère le comportement de l’écran de verrouillage de l’appareil.
Remarque
Le mode plein écran n’empêche pas l’application kiosque de lancer d’autres applications installées sur l’appareil, y compris l’application Paramètres de l’appareil. Les administrateurs doivent s’assurer que toutes les applications activées en mode plein écran ne lancent pas d’autres applications auxquelles les utilisateurs ne doivent pas avoir accès et désinstallent les applications qui ne sont pas nécessaires sur l’appareil.
Vos options de mode plein écran :
Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
Application unique : lorsque les utilisateurs se trouvent sur les appareils, ils peuvent uniquement accéder à l’application que vous avez sélectionnée. Lorsque l’appareil démarre, seule l’application spécifique démarre. Les utilisateurs ne peuvent pas modifier l’application en cours d’exécution.
Sélectionnez une application à utiliser pour le mode plein écran : sélectionnez l’application système Google Play ou Android Entreprise gérée dans la liste. Pour les appareils dédiés à une seule application et entièrement gérés, l’application que vous sélectionnez doit être :
Affecté au groupe d’appareils créé pour vos appareils dédiés ou complètement gérés.
Remarque
Sur les appareils entièrement gérés, la seule application sélectionnée qui s’applique est Managed Home Screen. Toutes les autres applications seront traitées comme une application obligatoire à la place.
Plusieurs applications : les utilisateurs peuvent accéder à un ensemble limité d’applications sur l’appareil. Lorsque l’appareil démarre, seules les applications que vous ajoutez démarrent. Vous pouvez également ajouter des liens web que les utilisateurs peuvent ouvrir. Lorsque la stratégie est appliquée, les utilisateurs voient des icônes pour les applications autorisées sur l’écran d’accueil.
Pour les appareils dédiés à plusieurs applications et entièrement gérés, l’application Managed Home Screen n’est pas obligatoire dans le profil de configuration, mais l’application Managed Home Screen de Google Play doit être :
- Ajouté dans Intune.
- Affecté au groupe d’appareils créé pour vos appareils dédiés ou complètement gérés.
En outre, tous les packages que vous souhaitez lancer à partir de Managed Home Screen doivent être :
- Ajouté dans Intune.
- Affecté au groupe d’appareils créé pour vos appareils dédiés ou complètement gérés.
Lorsque l’application Managed Home Screen est ajoutée, toutes les autres applications installées que vous ajoutez dans le profil de configuration sont affichées sous forme d’icônes sur l’application Managed Home Screen.
Pour plus d’informations sur l’écran d’accueil géré, consultez Configurer Microsoft Managed Home Screen sur des appareils dédiés et entièrement gérés en mode kiosque multi-applications.
Remarque
Tous les paramètres Managed Home Screen ne sont pas disponibles dans la page restrictions de l’appareil. Pour afficher tous les paramètres disponibles pour Managed Home Screen, consultez Configurer l’application Microsoft Managed Home Screen.
Disposition d’application personnalisée : Activer vous permet de placer des applications et des dossiers à différents emplacements sur le Managed Home Screen. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, les applications et dossiers que vous ajoutez s’affichent sur l’écran d’accueil par ordre alphabétique.
Taille de la grille : sélectionnez la taille de votre écran d’accueil. Une application ou un dossier prend un emplacement sur la grille.
Écran d’accueil : sélectionnez le bouton Ajouter, puis sélectionnez une application dans la liste. Sélectionnez l’option Dossier pour créer un dossier, entrez le Nom du dossier et ajoutez des applications de votre liste au dossier.
Lorsque vous ajoutez des éléments, sélectionnez le menu contextuel pour supprimer des éléments ou déplacez-les vers différentes positions :
Ajouter : sélectionnez vos applications dans la liste.
Si l’application Managed Home Screen n’est pas répertoriée, ajoutez-la à partir de Google Play. Veillez à affecter l’application au groupe d’appareils créé pour vos appareils dédiés ou complètement gérés.
Vous pouvez également ajouter d’autres applications Android et applications web créées par votre organization à l’appareil. Veillez à affecter l’application au groupe d’appareils créé pour vos appareils dédiés ou complètement gérés.
Importante
Lorsque vous utilisez le mode multi-application, chaque application de la stratégie doit être une application obligatoire et doit être affectée aux appareils. Si une application n’est pas requise ou n’est pas affectée, les appareils peuvent verrouiller les utilisateurs et afficher un
Contact your IT admin. This phone will be erased.
message.Remarque
Les applications ajoutées dans MHS ne sont pas empêchées de lancer d’autres applications installées sur l’appareil. Les administrateurs doivent s’assurer que toutes les applications autorisées dans MHS ne lancent pas d’autres applications auxquelles les utilisateurs n’ont pas accès et ne doivent pas désinstaller les applications qui ne sont pas nécessaires sur l’appareil.
Verrouiller l’écran d’accueil : Activer empêche les utilisateurs de déplacer des icônes et des dossiers d’application. Ils sont verrouillés et ne peuvent pas être glissés et déposés à différents endroits de la grille. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, les utilisateurs peuvent déplacer ces éléments.
Icône de dossier : sélectionnez la couleur et la forme de l’icône de dossier qui se trouve sur le Managed Home Screen. Les options disponibles sont les suivantes :
- Non configuré
- Rectangle de thème foncé
- Cercle de thème foncé
- Rectangle de thème clair
- Cercle de thème clair
Taille de l’icône de l’application et du dossier : sélectionnez la taille de l’icône de dossier qui se trouve sur le Managed Home Screen. Les options disponibles sont les suivantes :
Non configuré
Très petit
Small
Average
Large
Très grande
Selon la taille de l’écran, la taille réelle de l’icône peut être différente.
Orientation de l’écran : sélectionnez la direction dans laquelle le Managed Home Screen s’affiche sur les appareils. Les options disponibles sont les suivantes :
- Non configuré
- Portrait
- Paysage
- Rotation automatique
Badges de notification d’application : Activer indique le nombre de notifications nouvelles et non lues sur les icônes d’application. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Bouton d’accueil virtuel : bouton à touche logicielle qui renvoie les utilisateurs à la Managed Home Screen afin que les utilisateurs puissent basculer entre les applications. Les options disponibles sont les suivantes :
- Non configuré (par défaut) : aucun bouton d’accueil n’est affiché. Les utilisateurs doivent utiliser le bouton Précédent pour basculer entre les applications.
- Balayez vers le haut : un bouton d’accueil s’affiche lorsqu’un utilisateur effectue un mouvement de balayage vers le haut sur l’appareil.
- Flottant : affiche un bouton d’accueil flottant persistant sur l’appareil.
Quitter le mode plein écran : Activer permet aux administrateurs de suspendre temporairement le mode plein écran pour mettre à jour l’appareil. Pour utiliser cette fonctionnalité, l’administrateur :
- Continue à sélectionner le bouton Précédent jusqu’à ce que le bouton Quitter le kiosque s’affiche.
- Sélectionne le bouton Quitter le kiosque et entre le code PIN Quitter le mode kiosque .
- Lorsque vous avez terminé, sélectionnez l’application Managed Home Screen. Cette étape reblocage l’appareil en mode plein écran multi-application.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les administrateurs de suspendre le mode plein écran. Si l’administrateur continue de sélectionner le bouton Précédent et le bouton Quitter la borne , un message indique qu’un code secret est requis.
Quitter le code du mode plein écran : entrez un code pin numérique à 4-6 chiffres. L’administrateur utilise ce code confidentiel pour suspendre temporairement le mode plein écran.
Définir l’arrière-plan de l’URL personnalisée : entrez une URL pour personnaliser l’écran d’arrière-plan sur l’appareil dédié ou complètement géré. Par exemple, entrez
http://contoso.com/backgroundimage.jpg
.Remarque
Dans la plupart des cas, nous vous recommandons de commencer par des images d’au moins les tailles suivantes :
- Téléphone : 1080x1920 px
- Tablette : 1920x1080 px
Pour une expérience optimale et des détails précis, il est suggéré de créer des ressources d’image par appareil selon les spécifications de l’affichage.
Les écrans modernes ont des densités de pixels plus élevées et peuvent afficher des images de définition 2K/4K équivalentes.
Raccourci vers le menu des paramètres : Désactiver masque le raccourci Paramètres managés sur le Managed Home Screen. Les utilisateurs peuvent toujours accéder au menu Paramètres managés à partir de la barre supérieure. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le raccourci Paramètres managés s’affiche sur les appareils. Les utilisateurs peuvent sélectionner l’icône des paramètres pour accéder aux paramètres.
Accès rapide au menu de débogage : ce paramètre contrôle la façon dont les utilisateurs accèdent au menu débogage. Les options disponibles sont les suivantes :
- Activer : les utilisateurs peuvent accéder au menu de débogage plus facilement. Plus précisément, ils peuvent y accéder à partir du menu Paramètres managés. Comme toujours, ils peuvent continuer à sélectionner le bouton Précédent 15 fois.
- Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, l’accès facile au menu de débogage est désactivé. Les utilisateurs doivent sélectionner le bouton Précédent 15 fois pour ouvrir le menu de débogage.
Dans le menu débogage, les utilisateurs peuvent :
- Afficher et charger les journaux Managed Home Screen
- Ouvrir l’application Android Device Policy Manager de Google
- Ouvrir l’application Microsoft Intune
- Quitter le mode plein écran
Configuration Wi-Fi : Activer affiche le contrôle Wi-Fi sur le Managed Home Screen et permet aux utilisateurs de connecter l’appareil à différents réseaux Wi-Fi. L’activation de cette fonctionnalité active également l’emplacement de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle Wi-Fi sur le Managed Home Screen. Il empêche les utilisateurs de se connecter à des réseaux Wi-Fi lors de l’utilisation du Managed Home Screen.
Liste verte Wi-Fi : créez une liste de noms de réseau sans fil valides, également appelés identificateur de jeu de services (SSID). Managed Home Screen utilisateurs peuvent uniquement se connecter aux SSID que vous entrez.
Wi-Fi SSID respectent la casse. Si le SSID est valide, mais que la majuscule que vous entrez ne correspond pas au nom du réseau, le réseau n’est pas affiché.
Lorsqu’il n’est pas vide, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, tous les réseaux Wi-Fi disponibles sont autorisés.
Importez un fichier .csv qui inclut une liste de SSID valides.
Exportez votre liste actuelle dans un fichier .csv.
SSID : vous pouvez également entrer les noms de réseau Wi-Fi (SSID) auxquels Managed Home Screen utilisateurs peuvent se connecter. Veillez à entrer des SSID valides.
Importante
Dans la version d’octobre 2020, l’API Managed Home Screen a été mise à jour pour être conforme aux exigences de Google Play Store. Les modifications suivantes ont un impact sur les stratégies de configuration Wi-Fi dans le Managed Home Screen :
Les utilisateurs ne peuvent pas activer ou désactiver les connexions Wi-Fi sur les appareils. Les utilisateurs peuvent basculer entre les réseaux Wi-Fi, mais ne peuvent pas activer ou désactiver Wi-Fi.
Si un réseau Wi-Fi est protégé par mot de passe, les utilisateurs doivent entrer le mot de passe. Après avoir entré le mot de passe, le réseau configuré se connecte automatiquement. S’ils se déconnectent, puis se reconnectent au réseau Wi-Fi, les utilisateurs devront peut-être entrer à nouveau le mot de passe.
Sur les appareils Android 11, lorsque les utilisateurs se connectent à un réseau à l’aide du Managed Home Screen, ils sont invités à donner leur consentement. Cette invite provient d’Android et n’est pas spécifique au Managed Home Screen.
Sur les appareils Android 10, lorsque les utilisateurs se connectent à un réseau à l’aide du Managed Home Screen, une notification les invite à donner leur consentement. Par conséquent, les utilisateurs doivent accéder à la barre de status et aux notifications pour donner leur consentement. Pour activer les notifications système, consultez Paramètres généraux pour les appareils entièrement gérés et dédiés (dans cet article).
Sur les appareils Android 10, lorsque les utilisateurs se connectent à un réseau protégé par mot de passe Wi-Fi à l’aide du Managed Home Screen, ils sont invités à entrer le mot de passe. Si l’appareil est connecté à un réseau instable, le réseau Wi-Fi change. Ce comportement se produit même lorsque les utilisateurs entrent le mot de passe correct.
Configuration Bluetooth : Activer affiche le contrôle Bluetooth sur le Managed Home Screen et permet aux utilisateurs de coupler des appareils via Bluetooth. L’activation de cette fonctionnalité active également l’emplacement de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle Bluetooth sur le Managed Home Screen. Il empêche les utilisateurs de configurer bluetooth et de coupler des appareils lors de l’utilisation de la Managed Home Screen.
Importante
Pour les appareils s’exécutant sur Android 10+ et utilisant Managed Home Screen, pour que le couplage Bluetooth fonctionne correctement sur les appareils qui nécessitent une clé de couplage, les administrateurs doivent activer les applications système Android suivantes :
- Système Android Bluetooth
- Paramètres système Android
- Interface utilisateur du système Android
Pour plus d’informations sur l’activation des applications système Android, accédez à : Gérer les applications système Android Entreprise
Accès à la lampe torche : Activer affiche le contrôle de la lampe de poche sur le Managed Home Screen et permet aux utilisateurs d’activer ou de désactiver la lampe de poche. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle flash sur Managed Home Screen. Il empêche les utilisateurs d’utiliser la lampe de poche lors de l’utilisation de la Managed Home Screen.
Contrôle du volume multimédia : Activer affiche le contrôle du volume multimédia sur le Managed Home Screen et permet aux utilisateurs d’ajuster le volume multimédia de l’appareil à l’aide d’un curseur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle du volume multimédia sur Managed Home Screen. Il empêche les utilisateurs d’ajuster le volume multimédia de l’appareil lors de l’utilisation du Managed Home Screen, sauf si leurs boutons matériels le prennent en charge.
Accès rapide aux informations sur l’appareil : Activer permet aux utilisateurs de balayer vers le bas pour afficher les informations de l’appareil sur le Managed Home Screen, telles que le numéro de série, le numéro de la fabrique et du modèle et le niveau du KIT de développement logiciel (SDK). Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les informations de l’appareil peuvent ne pas être affichées.
Mode économiseur d’écran : Activer affiche un économiseur d’écran sur le Managed Home Screen lorsque l’appareil est verrouillé ou expire. Lorsqu’il est défini sur Non configuré (valeur par défaut), Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher d’écran de veille sur le Managed Home Screen.
Quand cette option est activée, configurez également :
Définir une image d’écran de sauvegarde personnalisée : entrez l’URL d’un fichier PNG, JPG, JPEG, GIF, BMP, WebP ou ICOimage personnalisé. Si vous n’entrez pas d’URL, l’image par défaut de l’appareil est utilisée, s’il existe une image par défaut.
Par exemple, entrez :
http://www.contoso.com/image.jpg
www.contoso.com/image.bmp
https://www.contoso.com/image.webp
Conseil
Toute URL de ressource de fichier qui peut être transformée en bitmap est prise en charge.
Nombre de secondes pendant lesquelles l’appareil affiche l’économiseur d’écran avant de désactiver l’écran : choisissez la durée pendant laquelle l’appareil affiche l’écran de veille. Entrez une valeur comprise entre 0 et 9999999 secondes. La valeur par défaut est
0
secondes. Lorsqu’il est vide ou défini sur zéro (0
), l’économiseur d’écran est actif jusqu’à ce qu’un utilisateur interagisse avec l’appareil.Nombre de secondes pendant lesquelles l’appareil est inactif avant d’afficher l’économiseur d’écran : choisissez la durée pendant laquelle l’appareil est inactif avant d’afficher l’écran de veille. Entrez une valeur comprise entre 1 et 9999999 secondes. La valeur par défaut est
30
secondes. Vous devez entrer un nombre supérieur à zéro (0
).Détecter les médias avant de démarrer l’économiseur d’écran : Activer (par défaut) n’affiche pas l’économiseur d’écran si l’audio ou la vidéo est en cours de lecture sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher l’économiseur d’écran, même si l’audio ou la vidéo est en cours de lecture.
Remarque
Managed Home Screen démarre l’écran de veille chaque fois que l’écran de verrouillage s’affiche :
- Si le délai d’expiration de l’écran de verrouillage du système est supérieur au nombre de secondes pendant lesquelles l’appareil affiche l’écran de veille, l’écran de veille s’affiche jusqu’à ce que l’écran de verrouillage s’affiche.
- Si le délai d’expiration de l’écran de verrouillage du système est inférieur au nombre de secondes pendant lesquelles l’appareil est inactif, l’écran de veille s’affiche dès que l’écran de verrouillage de l’appareil s’affiche.
Écran de connexion MHS (appareils dédiés uniquement) : Activer affiche un écran de connexion sur le Managed Home Screen. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Cet écran de connexion et les paramètres associés sont destinés à être utilisés sur des appareils dédiés inscrits avec Microsoft Entra mode d’appareil partagé.
Quand cette option est activée, configurez également :
- Définir l’arrière-plan de l’URL personnalisée pour l’écran de connexion : entrez l’URL de l’arrière-plan de l’URL de l’écran de connexion. L’écran de connexion doit être activé pour configurer ce paramètre.
- Définir le logo de personnalisation d’URL pour l’écran de connexion et la page d’épingle de session : entrez le logo de personnalisation d’URL pour l’écran de connexion et la page d’épingle de session.
-
Demander à l’utilisateur de définir un code confidentiel pour la session de connexion : lorsqu’il est défini sur Activer, l’utilisateur doit définir un code confidentiel pour sa session de connexion. Lorsqu’il est défini sur Non configuré (valeur par défaut), l’utilisateur n’est pas tenu de définir un code confidentiel. Ce paramètre doit être activé pour afficher les sous-paramètres.
Choisir la complexité du code confidentiel pour la session de connexion : sélectionnez la complexité du code confidentiel de la session. Les options disponibles sont les suivantes :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, MHS nécessite au moins un caractère dans le code confidentiel de session.
- Simple : nécessite des nombres. Il n’existe aucune restriction sur les séquences répétées (444) ou ordonnées (123, 321, 246).
- Complexe : permet aux utilisateurs de créer un code confidentiel avec des caractères alphanumériques. Impossible d’utiliser des séquences répétées (444) ou ordonnées (123, 321, 246).
Pour plus d’informations sur ce paramètre, consultez Complexité du code confidentiel de session dans Configurer l’application Microsoft Managed Home Screen pour Android Entreprise.
Demander à l’utilisateur d’entrer le code pin de session si l’économiseur d’écran s’est affiché : sélectionnez Activer pour demander à l’utilisateur d’entrer son code confidentiel de session pour reprendre l’utilisation de l’Managed Home Screen après l’affichage de l’écran de veille.
-
Déconnexion automatique des applications MHS et en mode appareil partagé après l’inactivité : sélectionnez Activer pour vous déconnecter automatiquement du Managed Home Screen en fonction de l’inactivité. Ce paramètre doit être activé pour afficher les sous-paramètres.
- Nombre de secondes d’inactivité de l’appareil avant de déconnecter automatiquement l’utilisateur : définissez la période d’inactivité, en secondes, avant que l’utilisateur ne soit automatiquement déconnecté de Managed Home Screen. Par défaut, cette valeur est définie sur 300 secondes.
- Nombre de secondes pour avertir l’utilisateur avant de le déconnecter automatiquement : définissez la durée, en secondes, pendant laquelle l’utilisateur a la possibilité de reprendre sa session avant d’être automatiquement déconnecté de Managed Home Screen. Par défaut, cette valeur est définie sur 60 secondes.
Lanceur Microsoft (entièrement géré uniquement) : configure l’application Microsoft Launcher sur les appareils entièrement gérés. Cette option est idéale pour les appareils qui doivent fournir à l’utilisateur final un accès à toutes les applications et paramètres sur l’appareil.
Faire de Microsoft Launcher le lanceur par défaut : Activer définit Microsoft Launcher comme lanceur par défaut sur l’écran d’accueil. Si vous définissez Launcher comme lanceur par défaut, les utilisateurs ne peuvent pas utiliser un autre lanceur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, Microsoft Launcher n’est pas forcé comme lanceur par défaut.
Configurer un papier peint personnalisé : dans l’application Microsoft Launcher, Activer vous permet d’appliquer votre propre image en tant que papier peint de l’écran d’accueil et de choisir si les utilisateurs peuvent modifier l’image. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, l’appareil conserve son papier peint actuel.
-
Entrer l’URL de l’image de papier peint : entrez l’URL de votre image de papier peint. Cette image s’affiche sur l’écran d’accueil de l’appareil. Par exemple, entrez
http://www.contoso.com/image.jpg
. - Autoriser l’utilisateur à modifier le papier peint : Activer permet aux utilisateurs de modifier l’image du papier peint. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs ne peuvent pas modifier le papier peint.
-
Entrer l’URL de l’image de papier peint : entrez l’URL de votre image de papier peint. Cette image s’affiche sur l’écran d’accueil de l’appareil. Par exemple, entrez
Activer le flux du lanceur : Activer active le flux de lanceur, qui affiche les calendriers, les documents et les activités récentes. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, ce flux n’est pas affiché.
- Autoriser l’utilisateur à activer/désactiver le flux : Activer permet aux utilisateurs d’activer ou de désactiver le flux du lanceur. Activer force uniquement ce paramètre la première fois que le profil est attribué. Les attributions de profil futures ne forcent pas ce paramètre. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs ne peuvent pas modifier les paramètres de flux de lanceur.
Présence du dock : le dock permet aux utilisateurs d’accéder rapidement à leurs applications et outils. Les options disponibles sont les suivantes :
- Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre.
- Afficher : la station d’accueil est affichée sur les appareils.
- Masquer : le dock est masqué. Les utilisateurs doivent balayer vers le haut pour accéder à la station d’accueil.
- Désactivé : la station d’accueil n’est pas affichée sur les appareils et les utilisateurs ne peuvent pas l’afficher.
Autoriser l’utilisateur à modifier la présence de la station d’accueil : Activer permet aux utilisateurs d’afficher ou de masquer la station d’accueil. Activer force uniquement ce paramètre la première fois que le profil est attribué. Les attributions de profil futures ne forcent pas ce paramètre. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs ne sont pas autorisés à modifier la configuration de la station d’accueil de l’appareil.
Remplacement de la barre de recherche : choisissez où placer la barre de recherche. Les options disponibles sont les suivantes :
- Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre.
- Haut : la barre de recherche s’affiche en haut des appareils.
- Bas : la barre de recherche s’affiche en bas des appareils.
- Masquer : la barre de recherche est masquée.
Mot de passe de l’appareil
Appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise
Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et indiquez si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :
Valeur par défaut de l’appareil (par défaut) : la plupart des appareils n’ont pas besoin d’un mot de passe lorsqu’ils sont définis sur Valeur par défaut de l’appareil. Si vous souhaitez demander aux utilisateurs de configurer un code secret sur leurs appareils, configurez ce paramètre sur quelque chose de plus sécurisé que la valeur par défaut de l’appareil.
Mot de passe requis, aucune restriction
Biométrie faible : biométrie forte ou faible (ouvre le site web d’Android)
Numérique : le mot de passe doit être uniquement des nombres, tels que
123456789
. Entrez également :- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Complexe numérique : les nombres répétés ou consécutifs, tels que
1111
ou1234
, ne sont pas autorisés. Entrez également :- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Alphabétique : les lettres de l’alphabet sont obligatoires. Les nombres et les symboles ne sont pas obligatoires. Entrez également :
- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Alphanumérique : inclut des majuscules, des lettres minuscules et des caractères numériques. Entrez également :
- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Alphanumérique avec symboles : inclut des lettres majuscules, des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles. Entrez également :
- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
- Nombre de caractères requis : entrez le nombre de caractères que le mot de passe doit contenir, compris entre 0 et 16 caractères.
- Nombre de caractères minuscules requis : entrez le nombre de caractères minuscules que le mot de passe doit contenir, compris entre 0 et 16 caractères.
- Nombre de caractères majuscules requis : entrez le nombre de caractères majuscules que le mot de passe doit contenir, compris entre 0 et 16 caractères.
- Nombre de caractères autres que des lettres obligatoires : entrez le nombre de lettres autres que les lettres de l’alphabet que doit contenir le mot de passe, compris entre 0 et 16 caractères.
-
Nombre de caractères numériques requis : entrez le nombre de caractères numériques (
1
, ,2
3
, etc.) dont le mot de passe doit comporter entre 0 et 16 caractères. -
Nombre de caractères de symbole requis : entrez le nombre de caractères de symbole (
&
, ,#
%
, etc.) que le mot de passe doit comporter, compris entre 0 et 16 caractères.
Nombre de jours avant l’expiration du mot de passe : entrez le nombre de jours, jusqu’à ce que le mot de passe de l’appareil soit modifié, de 1 à 365. Par exemple, entrez
90
pour faire expirer le mot de passe après 90 jours. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.Nombre de mots de passe requis pour que l’utilisateur puisse réutiliser un mot de passe : utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe précédemment utilisés. Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés, compris entre 1 et 24. Par exemple, entrez
5
afin que les utilisateurs ne puissent pas définir un nouveau mot de passe sur leur mot de passe actuel ou sur l’un de leurs quatre mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.Nombre d’échecs de connexion avant réinitialisation de l’appareil : entrez le nombre de mots de passe incorrects autorisés avant la réinitialisation de l’appareil, de 4 à 11. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Remarque
Les utilisateurs sur les appareils entièrement gérés et avec profil professionnel appartenant à l’entreprise ne sont pas invités à définir un mot de passe. Les paramètres sont obligatoires, mais les utilisateurs peuvent ne pas être avertis. Les utilisateurs doivent définir le mot de passe manuellement. La stratégie signale l’échec jusqu’à ce que l’utilisateur définisse un mot de passe qui répond à vos besoins.
Pour appliquer les paramètres de mot de passe de l’appareil lors de l’inscription de l’appareil, affectez le profil de restriction d’appareil aux utilisateurs, et non aux appareils. Pendant l’inscription, les utilisateurs sont invités à définir un verrouillage d’écran. Ensuite, ils doivent choisir un mot de passe d’appareil qui répond à toutes les exigences de ce profil de restriction d’appareil.
Sur les appareils dédiés, si l’appareil est configuré en mode kiosque unique ou multi-application, les utilisateurs sont invités à définir un mot de passe. Les écrans forcent et guident les utilisateurs à créer un mot de passe conforme avant de pouvoir continuer à utiliser l’appareil.
Sur les appareils dédiés qui n’utilisent pas le mode plein écran, les utilisateurs ne sont avertis d’aucune exigence de mot de passe. Les utilisateurs doivent définir le mot de passe manuellement. La stratégie signale l’échec jusqu’à ce que l’utilisateur définisse un mot de passe qui répond à vos besoins.
Fonctionnalités de l’écran de verrouillage désactivées : lorsque l’appareil est verrouillé, choisissez les fonctionnalités qui ne peuvent pas être utilisées. Par exemple, lorsque l’option Caméra sécurisée est cochée, la fonctionnalité caméra est désactivée sur l’appareil. Toutes les fonctionnalités non vérifiées sont activées sur l’appareil.
Ces fonctionnalités sont disponibles pour les utilisateurs lorsque l’appareil est verrouillé. Les utilisateurs ne voient pas les fonctionnalités que vous case activée et n’y accèdent pas.
- Sur les appareils avec profil professionnel appartenant à l’entreprise, seuls les notifications non expurgées, les agents d’approbation et le déverrouillage par empreinte digitale peuvent être désactivés.
- Si les utilisateurs désactivent le paramètre Utiliser un verrou sur leur appareil, la désactivation du déverrouillage par empreinte digitale et la désactivation des agents d’approbation s’appliquent au niveau du profil professionnel appartenant à l’entreprise. Si les utilisateurs activent le paramètre Utiliser un verrou , la désactivation du déverrouillage par empreinte digitale et la désactivation des agents d’approbation s’appliquent au niveau de l’appareil.
Fréquence de déverrouillage requise : l’authentification forte est lorsque les utilisateurs déverrouillent un appareil à l’aide d’un mot de passe, d’un code confidentiel ou d’un modèle. Les méthodes d’authentification non fortes sont lorsque les utilisateurs déverrouillent un appareil à l’aide de certaines options biométriques, telles qu’une empreinte digitale ou une analyse de visage.
Sélectionnez le temps dont disposent les utilisateurs avant de devoir déverrouiller l’appareil à l’aide d’une méthode d’authentification forte. Les options disponibles sont les suivantes :
- Par défaut de l’appareil : l’écran se verrouille à l’aide de l’heure par défaut de l’appareil.
- 24 heures depuis le dernier code confidentiel, mot de passe ou déverrouillage de modèle : l’écran se verrouille 24 heures après la dernière utilisation par les utilisateurs d’une méthode d’authentification forte pour déverrouiller l’appareil. Lorsque le délai d’expiration est atteint, les méthodes d’authentification non forte sont désactivées jusqu’à ce que l’appareil soit déverrouillé à l’aide de l’authentification forte.
2.3.4 Gestion avancée des codes secrets : délai d’expiration requis pour l’authentification forte (ouvre le site web d’Android)
Appareils entièrement managés et dédiés
- Désactiver l’écran de verrouillage : désactiver empêche l’utilisation de toutes les fonctionnalités de l’écran de verrouillage keyguard. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, lorsque l’appareil est sur l’écran de verrouillage, le système d’exploitation peut autoriser toutes les fonctionnalités keyguard, telles que l’appareil photo, le déverrouillage par empreinte digitale, etc.
Paramètres d’alimentation
Appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise
-
Écran durée de verrouillage (au niveau du profil professionnel) : entrez la durée maximale qu’un utilisateur peut définir jusqu’à ce que l’appareil se verrouille. Par exemple, si vous définissez ce paramètre sur
10 minutes
, les utilisateurs peuvent définir une durée comprise entre 15 secondes et 10 minutes. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.
Appareils entièrement managés et dédiés
- Écran allumé lorsque l’appareil est branché : choisissez les sources d’alimentation qui font en sorte que l’écran de l’appareil reste allumé lorsqu’il est branché.
Utilisateurs et comptes
Appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise
- Ajouter de nouveaux utilisateurs : Bloquer empêche les utilisateurs d’ajouter de nouveaux utilisateurs. Chaque utilisateur dispose d’un espace personnel sur l’appareil pour les écrans d’accueil, les comptes, les applications et les paramètres personnalisés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à ajouter d’autres utilisateurs à l’appareil.
- L’utilisateur peut configurer des informations d’identification (au niveau du profil professionnel) : Bloquer empêche les utilisateurs de configurer des certificats attribués à des appareils, même des appareils qui ne sont pas associés à un compte d’utilisateur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de configurer ou de modifier leurs informations d’identification lorsqu’ils y accèdent dans le magasin de clés.
Appareils entièrement managés et dédiés
- Suppression de l’utilisateur : Bloquer empêche les utilisateurs de supprimer des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à supprimer d’autres utilisateurs de l’appareil.
- Comptes Google personnels : Bloquer empêche les utilisateurs d’ajouter leur compte Google personnel à l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à ajouter leur compte Google personnel.
Appareils dédiés
- Modifications de compte : Bloquer empêche les utilisateurs de mettre à jour ou de modifier des comptes en mode plein écran. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à mettre à jour les comptes d’utilisateur sur l’appareil.
Applications
Appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise
Remarque
Si vous souhaitez activer le chargement indépendant, définissez les paramètres Autoriser l’installation à partir de sources inconnues et Autoriser l’accès à toutes les applications dans Google Play Store sur Autoriser.
Autoriser l’installation à partir de sources inconnues : Autoriser permet aux utilisateurs d’activer Sources inconnues. Ce paramètre permet aux applications de s’installer à partir de sources inconnues, y compris des sources autres que Google Play Store. Il permet aux utilisateurs de charger une version test des applications sur l’appareil à l’aide de moyens autres que google Play Store. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’activer sources inconnues.
Mises à jour automatiques des applications (au niveau du profil professionnel) : les appareils case activée quotidiennement pour les mises à jour des applications. Choisissez quand les mises à jour automatiques sont installées. Les options disponibles sont les suivantes :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Choix de l’utilisateur : le système d’exploitation peut être défini par défaut sur cette option. Les utilisateurs peuvent définir leurs préférences dans l’application Google Play gérée.
- Jamais : Mises à jour ne sont jamais installés. Cette option n’est pas recommandée.
- Wi-Fi uniquement : Mises à jour sont installés uniquement lorsque l’appareil est connecté à un réseau Wi-Fi.
- Toujours : Mises à jour sont installés lorsqu’ils sont disponibles.
Autoriser l’accès à toutes les applications dans Google Play Store :
Lorsqu’il est défini sur Bloquer :
- Les utilisateurs ne peuvent pas accéder aux applications dans le Google Play Store et ne peuvent pas accéder aux applications privées ajoutées au compte Google Play géré de votre organization
- Affiche uniquement les applications du Google Play Store géré qui sont approuvées, les applications obligatoires et les applications affectées à l’utilisateur.
- Désinstalle les applications qui ont été installées en dehors du Google Play Store géré.
Avertissement
Si vous remplacez ce paramètre par Autoriser par Bloquer, toute application non marquée comme Obligatoire ou Disponible est automatiquement désinstallée de l’appareil.
Lorsqu’il est défini sur Autoriser :
- Les utilisateurs ont accès à toutes les applications du Google Play Store et à toutes les applications privées ajoutées au compte Google Play géré de votre organization.
- Veillez à cibler toute application (privée ou publique) avec l’intention de désinstallation qui ne doit pas être accessible ou les applications installées par les utilisateurs à partir du Google Play Store géré.
- Les utilisateurs ne peuvent pas utiliser les applications ajoutées à une liste de blocage (attribuées avec l’intention de désinstallation) sur le profil personnel des appareils appartenant à l’entreprise avec un profil professionnel.
Pour plus d’informations sur l’exclusion d’utilisateurs et de groupes d’applications spécifiques, accédez à Inclure et exclure des affectations d’applications.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation :
- Affiche uniquement les applications du Google Play Store géré qui sont approuvées, les applications obligatoires et les applications affectées à l’utilisateur.
Les paramètres suivants font partie de la fonctionnalité d’étendue déléguée de Google :
Autoriser d’autres applications à installer et à gérer des certificats : sélectionnez Ajouter pour sélectionner les applications existantes pour cette autorisation. Vous pouvez ajouter plusieurs applications. Les applications sélectionnées ont accès à l’installation et à la gestion des certificats.
Pour utiliser ce paramètre, votre application Google Play gérée doit utiliser des étendues déléguées. Pour plus d’informations, accédez aux configurations d’application intégrées d’Android et aux étendues de délégation Android (ouvre le site web d’Android).
Autoriser cette application à accéder aux journaux de sécurité Android : sélectionnez l’application qui doit disposer de cette autorisation. Vous ne pouvez sélectionner qu’une seule application. L’application est autorisée à accéder aux journaux de sécurité.
Pour utiliser ce paramètre, votre application Google Play gérée doit utiliser des étendues déléguées. Pour plus d’informations, accédez aux configurations d’application intégrées d’Android et aux étendues de délégation Android (ouvre le site web d’Android).
Autoriser cette application à accéder aux journaux d’activité réseau Android : sélectionnez l’application qui doit disposer de cette autorisation. Vous ne pouvez sélectionner qu’une seule application. L’application se voit accorder l’accès aux journaux d’activité réseau.
Pour utiliser ce paramètre, votre application Google Play gérée doit utiliser des étendues déléguées. Pour plus d’informations, accédez aux configurations d’application intégrées d’Android et aux étendues de délégation Android (ouvre le site web d’Android).
Conseil
En cas de conflit avec l’un de ces paramètres, le conflit s’applique aux trois paramètres. Veillez à accorder les autorisations Autoriser cette application à accéder aux journaux de sécurité Android et Autoriser cette application à accéder aux journaux d’activité réseau Android à une seule application. Vous pouvez accorder ces autorisations à la même application, mais pas à des applications différentes.
Pour plus d’informations, accédez à API de gestion Android - DelegatedScope (ouvre le site web de Google).
Appareils dédiés
Effacer les données locales dans les applications non optimisées pour le mode Appareil partagé : ajoutez à la liste toute application non optimisée pour le mode appareil partagé. Les données locales de l’application sont effacées chaque fois qu’un utilisateur se déconnecte d’une application optimisée pour le mode appareil partagé. Disponible pour les appareils dédiés inscrits en mode partagé exécutant Android 9 et versions ultérieures.
Lorsque vous utilisez ce paramètre, les utilisateurs ne peuvent pas lancer la déconnexion à partir d’applications non optimisées et n’obtiennent pas de déconnexion unique.
- Les utilisateurs doivent se déconnecter d’une application optimisée pour le mode Appareil partagé. Les applications Microsoft optimisées pour le mode Appareil partagé sur Android incluent Teams et Intune Managed Home Screen.
- Pour les applications qui ne sont pas optimisées pour le mode Appareil partagé, la suppression des données d’application s’étend au stockage d’applications local uniquement. Les données peuvent être laissées dans d’autres zones de l’appareil. Les artefacts d’identification des utilisateurs tels que l’adresse e-mail et le nom d’utilisateur peuvent être laissés sur l’application et visibles par d’autres utilisateurs.
- Les applications non optimisées qui prennent en charge plusieurs comptes peuvent présenter un comportement indéterminé et ne sont donc pas recommandées.
Toutes les applications non optimisées doivent être testées minutieusement avant d’être utilisées dans des scénarios multi-utilisateurs sur des appareils partagés pour s’assurer qu’elles fonctionnent comme prévu. Par exemple, validez vos scénarios principaux dans chaque application, vérifiez que l’application se déconnecte correctement et que toutes les données sont suffisamment effacées pour les besoins de votre organization.
Connectivité
Appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise
VPN always on (au niveau du profil professionnel) : Activer définit le client VPN pour se connecter automatiquement au VPN et se reconnecter à celui-ci. Les connexions VPN permanentes restent connectées. Ou, connectez-vous immédiatement lorsque les utilisateurs verrouillent leur appareil, que l’appareil redémarre ou que le réseau sans fil change.
Choisissez Non configuré pour désactiver le VPN always-on pour tous les clients VPN.
Importante
Veillez à déployer une seule stratégie VPN Always On sur un seul appareil. Le déploiement de plusieurs stratégies VPN Always On sur un seul appareil n’est pas pris en charge.
Client VPN : choisissez un client VPN qui prend en charge Always On. Les options disponibles sont les suivantes :
- Cisco AnyConnect
- Accès F5
- Palo Alto Networks GlobalProtect
- Pulse Secure
- Personnalisé
-
ID du package : entrez l’ID de package de l’application dans le Google Play Store. Par exemple, si l’URL de l’application dans le Play Store est
https://play.google.com/store/details?id=com.contosovpn.android.prod
, l’ID de package estcom.contosovpn.android.prod
.
-
ID du package : entrez l’ID de package de l’application dans le Google Play Store. Par exemple, si l’URL de l’application dans le Play Store est
Importante
- Le client VPN que vous choisissez doit être installé sur l’appareil et il doit prendre en charge le VPN par application dans les profils professionnels appartenant à l’entreprise. Dans le cas contraire, une erreur se produit.
- Vous devez approuver l’application cliente VPN dans le Google Play Store géré, synchroniser l’application avec Intune et déployer l’application sur l’appareil. Une fois cette opération terminée, l’application est installée dans le profil professionnel de l’utilisateur appartenant à l’entreprise.
- Vous devez toujours configurer le client VPN avec un profil VPN ou via un profil de configuration d’application.
- Il peut y avoir des problèmes connus lors de l’utilisation d’un VPN par application avec F5 Access pour Android 3.0.4. Pour plus d’informations, consultez les notes de publication de F5 pour F5 Access pour Android 3.0.4.
Mode de verrouillage : l’activation force tout le trafic réseau à utiliser le tunnel VPN. Si aucune connexion au VPN n’est établie, l’appareil n’aura pas d’accès réseau. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le trafic à circuler via le tunnel VPN ou via le réseau mobile.
Appareils entièrement managés et dédiés
Proxy global recommandé : Activer ajoute un proxy global aux appareils. Lorsqu’il est activé, le trafic HTTP et HTTPS utilise le proxy que vous entrez, y compris certaines applications sur l’appareil. Ce proxy n’est qu’une recommandation. Il est possible que certaines applications n’utilisent pas le proxy. Non configuré (valeur par défaut) n’ajoute pas de proxy global recommandé.
Pour plus d’informations sur cette fonctionnalité, consultez setRecommendedGlobalProxy (ouvre un site Android).
Lorsque cette option est activée, entrez également le Type de proxy. Les options disponibles sont les suivantes :
Direct : entrez manuellement les détails du serveur proxy, notamment :
-
Hôte : entrez le nom d’hôte ou l’adresse IP de votre serveur proxy. Par exemple, entrez
proxy.contoso.com
ou127.0.0.1
. -
Numéro de port : entrez le numéro de port TCP utilisé par le serveur proxy. Par exemple, entrez
8080
. -
Hôtes exclus : entrez une liste de noms d’hôtes ou d’adresses IP qui n’utilisent pas le proxy. Cette liste peut inclure un caractère générique astérisque (
*
) et plusieurs hôtes séparés par des points-virgules (;
) sans espaces. Par exemple, entrez127.0.0.1;web.contoso.com;*.microsoft.com
.
-
Hôte : entrez le nom d’hôte ou l’adresse IP de votre serveur proxy. Par exemple, entrez
Configuration automatique du proxy : entrez l’URL PAC d’un script de configuration automatique de proxy. Par exemple, entrez
https://proxy.contoso.com/proxy.pac
.Pour plus d’informations sur les fichiers PAC, consultez Fichier PAC (Proxy Auto-Configuration) (ouvre un site non-Microsoft).
Pour plus d’informations sur cette fonctionnalité, consultez setRecommendedGlobalProxy (ouvre un site Android).
Mot de passe de profil professionnel
Ces paramètres s’appliquent aux profils professionnels appartenant à l’entreprise.
Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et indiquez si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :
Par défaut de l’appareil
Mot de passe requis, aucune restriction
Biométrie faible : biométrie forte ou faible (ouvre le site web d’Android)
Numérique : le mot de passe doit être uniquement des nombres, tels que
123456789
. Entrez également :- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Complexe numérique : les nombres répétés ou consécutifs, tels que
1111
ou1234
, ne sont pas autorisés. Entrez également :- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Alphabétique : les lettres de l’alphabet sont obligatoires. Les nombres et les symboles ne sont pas obligatoires. Entrez également :
- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Alphanumérique : inclut des majuscules, des lettres minuscules et des caractères numériques. Entrez également :
- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
Alphanumérique avec symboles : inclut des lettres majuscules, des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles. Entrez également :
- Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.
- Nombre de caractères requis : entrez le nombre de caractères que le mot de passe doit contenir, compris entre 0 et 16 caractères.
- Nombre de caractères minuscules requis : entrez le nombre de caractères minuscules que le mot de passe doit contenir, compris entre 0 et 16 caractères.
- Nombre de caractères majuscules requis : entrez le nombre de caractères majuscules que le mot de passe doit contenir, compris entre 0 et 16 caractères.
- Nombre de caractères autres que des lettres obligatoires : entrez le nombre de lettres autres que les lettres de l’alphabet que doit contenir le mot de passe, compris entre 0 et 16 caractères.
-
Nombre de caractères numériques requis : entrez le nombre de caractères numériques (
1
, ,2
3
, etc.) dont le mot de passe doit comporter entre 0 et 16 caractères. -
Nombre de caractères de symbole requis : entrez le nombre de caractères de symbole (
&
, ,#
%
, etc.) que le mot de passe doit comporter, compris entre 0 et 16 caractères.
Nombre de jours avant l’expiration du mot de passe : entrez le nombre de jours, jusqu’à ce que le mot de passe de l’appareil soit modifié, de 1 à 365. Par exemple, entrez
90
pour faire expirer le mot de passe après 90 jours. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.Nombre de mots de passe requis pour que l’utilisateur puisse réutiliser un mot de passe : utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe précédemment utilisés. Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés, compris entre 1 et 24. Par exemple, entrez
5
afin que les utilisateurs ne puissent pas définir un nouveau mot de passe sur leur mot de passe actuel ou sur l’un de leurs quatre mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.Nombre d’échecs de connexion avant réinitialisation de l’appareil : entrez le nombre de mots de passe incorrects autorisés avant la réinitialisation de l’appareil, de 4 à 11.
0
(zéro) peut désactiver la fonctionnalité de réinitialisation de l’appareil. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.Remarque
Les appareils avec profil professionnel entièrement managés, dédiés et appartenant à l’entreprise ne sont pas invités à définir un mot de passe. Les paramètres sont obligatoires, mais les utilisateurs peuvent ne pas être avertis. Les utilisateurs doivent définir le mot de passe manuellement. La stratégie signale l’échec jusqu’à ce que l’utilisateur définisse un mot de passe qui répond à vos besoins.
Fréquence de déverrouillage requise : L’authentification forte est lorsque les utilisateurs déverrouillent le profil professionnel à l’aide d’un mot de passe, d’un code confidentiel ou d’un modèle. Les méthodes d’authentification non fortes sont lorsque les utilisateurs déverrouillent le profil professionnel à l’aide de certaines options biométriques, telles qu’une empreinte digitale ou une analyse de visage.
Sélectionnez le temps dont disposent les utilisateurs avant de devoir déverrouiller le profil professionnel à l’aide d’une méthode d’authentification forte. Les options disponibles sont les suivantes :
- Par défaut de l’appareil : l’écran se verrouille à l’aide de l’heure par défaut de l’appareil.
- 24 heures depuis le dernier code confidentiel, mot de passe ou dernier déverrouillage de modèle : l’écran se verrouille 24 heures après la dernière utilisation par les utilisateurs d’une méthode d’authentification forte pour déverrouiller le profil professionnel. Lorsque le délai d’expiration est atteint, les méthodes d’authentification non forte sont désactivées jusqu’à ce que le profil professionnel soit déverrouillé à l’aide de l’authentification forte.
2.3.4 Gestion avancée des codes secrets : délai d’expiration requis pour l’authentification forte (ouvre le site web d’Android)
Profil personnel
- Caméra : Bloquer empêche l’accès à l’appareil photo lors de l’utilisation personnelle. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de la caméra dans le profil personnel.
- Capture d’écran : Bloquer empêche les captures d’écran lors d’une utilisation personnelle. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’obtenir des captures d’écran ou des captures d’écran dans le profil personnel.
- Autoriser les utilisateurs à activer l’installation d’applications à partir de sources inconnues dans le profil personnel : sélectionnez Autoriser afin que les utilisateurs puissent installer des applications à partir de sources inconnues dans le profil personnel. Il permet aux utilisateurs d’installer des applications à partir de sources autres que le Google Play Store. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’installer des applications provenant de sources inconnues dans le profil personnel.
- Type de liste d’applications restreintes : sélectionnez Autoriser les applications à créer une liste d’applications Google Play gérées qui sont autorisées et approuvées pour être installées et exécutées dans le profil personnel sur l’appareil. Sélectionnez Applications bloquées pour créer une liste des applications Google Play gérées qui sont interdites et qui ne peuvent pas être installées et exécutées dans le profil personnel sur l’appareil. Lorsqu’il est défini sur Non configuré (valeur par défaut), Intune n’inclut pas de liste d’applications à autoriser ou à bloquer.
Informations de support personnalisées
À l’aide de ces paramètres, vous pouvez personnaliser certains messages de support présentés aux utilisateurs et afficher ces messages dans différentes langues.
Par défaut, les messages OEM par défaut sont affichés. Lorsque vous déployez un message personnalisé à l’aide de Intune, le message par défaut Intune est également déployé. Si vous n’entrez pas de message personnalisé pour la langue par défaut de l’appareil, le Intune message par défaut s’affiche automatiquement.
Par défaut, le message par défaut Intune est en anglais (États-Unis).
Par exemple, vous déployez un message personnalisé pour l'anglais et le français. L'utilisateur remplace la langue par défaut de l'appareil par l'espagnol. Étant donné que vous n’avez pas déployé de message personnalisé en espagnol, le Intune message par défaut s’affiche.
Le message par défaut Intune est traduit pour toutes les langues dans le centre d’administration Endpoint Manager (Paramètres>Langue + Région). La valeur de paramètre Langue détermine la langue par défaut utilisée par Intune. Par défaut, il est défini sur Anglais.
Vous pouvez configurer les paramètres suivants :
Court message de support : lorsque les utilisateurs essaient de modifier un paramètre géré par le organization, un message court s’affiche.
À l’aide des paramètres suivants, vous pouvez personnaliser ce message et entrer un autre message pour différentes langues. Par défaut, ce message est en anglais (États-Unis).
Tous, sauf si spécifié : ce message est le Intune message par défaut et s’affiche pour toutes les langues. Si vous n’entrez pas de message personnalisé, ce texte s’affiche automatiquement. Ce texte est également traduit automatiquement dans la langue par défaut de l’appareil.
Vous pouvez modifier ce message. Les modifications ne sont pas traduites. Si vous supprimez tout le texte de ce message et que vous laissez ce paramètre vide, le court Intune message par défaut d’origine suivant est utilisé et traduit :
You do not have permission for this action. For more information, contact your IT admin.
Sélectionnez Paramètres régionaux : sélectionnez les paramètres régionaux ou la région pour afficher un autre message personnalisé pour ces paramètres régionaux spécifiques.
Par exemple, pour afficher un message personnalisé sur les appareils utilisant l’espagnol comme langue par défaut, sélectionnez Espagnol (Espagne) . Seuls les appareils utilisant la langue par défaut espagnol (Espagne) voient votre message personnalisé. Toutes les autres langues voient tout, sauf si le texte du message est spécifié .
Vous pouvez ajouter plusieurs paramètres régionaux et messages.
Message : entrez le texte que vous souhaitez afficher, avec un maximum de 200 caractères. Le texte que vous entrez n’est pas traduit dans la langue par défaut de l’appareil. Par conséquent, si vous souhaitez afficher un message en espagnol, entrez le texte en espagnol.
Long message de support : sur l’appareil, dans Paramètres Sécurité>> Applications >d’administration de l’appareilStratégie d’appareil, un message de support long s’affiche.
À l’aide des paramètres suivants, vous pouvez personnaliser ce message et entrer un autre message pour différentes langues. Par défaut, ce message est en anglais (États-Unis).
Tous, sauf si spécifié : ce message est le Intune message par défaut et s’affiche pour toutes les langues. Si vous n’entrez pas de message personnalisé, ce texte s’affiche automatiquement et est automatiquement traduit dans la langue par défaut de l’appareil.
Vous pouvez modifier ce message. Les modifications ne sont pas traduites. Si vous supprimez tout le texte de ce message et laissez ce paramètre vide, le message long Intune par défaut d’origine suivant est utilisé et traduit :
The organization's IT admin can monitor and manage apps and data associated with this device, including settings, permissions, corporate access, network activity and the device's location information.
Sélectionnez Paramètres régionaux : sélectionnez les paramètres régionaux ou la région pour afficher un autre message personnalisé pour ces paramètres régionaux spécifiques.
Par exemple, pour afficher un message personnalisé sur les appareils utilisant l’espagnol comme langue par défaut, sélectionnez Espagnol (Espagne) . Seuls les appareils utilisant la langue par défaut espagnol (Espagne) voient votre message personnalisé. Toutes les autres langues voient tout, sauf si le texte du message est spécifié .
Vous pouvez ajouter plusieurs paramètres régionaux et messages.
Message : entrez le texte que vous souhaitez afficher, avec un maximum de 4 096 caractères. Le texte que vous entrez n’est pas traduit dans la langue par défaut de l’appareil. Par conséquent, si vous souhaitez afficher un message en espagnol, entrez le texte en espagnol.
Message de l’écran de verrouillage : entrez le texte que vous souhaitez afficher sur l’écran de verrouillage de l’appareil.
À l’aide des paramètres suivants, vous pouvez personnaliser ce message et entrer un autre message pour différentes langues. Par défaut, ce message est en anglais (États-Unis).
Tous, sauf si spécifié : entrez le texte que vous souhaitez afficher pour toutes les langues, soit un maximum de 4 096 caractères. Ce texte est automatiquement traduit dans la langue par défaut de l’appareil. Si vous n’entrez pas de message personnalisé, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher de message d’écran de verrouillage.
Sélectionnez Paramètres régionaux : sélectionnez les paramètres régionaux ou la région pour afficher un autre message personnalisé pour ces paramètres régionaux spécifiques.
Par exemple, pour afficher un message personnalisé sur les appareils utilisant l’espagnol comme langue par défaut, sélectionnez Espagnol (Espagne) . Seuls les appareils utilisant la langue par défaut espagnol (Espagne) voient votre message personnalisé. Toutes les autres langues voient tout, sauf si le texte du message est spécifié .
Vous pouvez ajouter plusieurs paramètres régionaux et messages.
Message : entrez le texte que vous souhaitez afficher, avec un maximum de 4 096 caractères. Le texte que vous entrez n’est pas traduit dans la langue par défaut de l’appareil. Par conséquent, si vous souhaitez afficher un message en espagnol, entrez le texte en espagnol.
Lorsque vous configurez le message de l’écran de verrouillage, vous pouvez également utiliser les jetons d’appareil suivants pour afficher des informations spécifiques à l’appareil :
-
{{AADDeviceId}}
: ID d’appareil Microsoft Entra -
{{AccountId}}
: ID de locataire Intune ou ID de compte -
{{DeviceId}}
: ID d’appareil Intune -
{{DeviceName}}
: nom de l’appareil Intune -
{{domain}}
:Nom de domaine -
{{EASID}}
: ID de synchronisation active Exchange -
{{IMEI}}
: IMEI de l’appareil -
{{mail}}
: adresse Email de l’utilisateur -
{{MEID}}
: MEID de l’appareil -
{{partialUPN}}
: préfixe UPN avant le symbole @ -
{{SerialNumber}}
: Numéro de série de l’appareil -
{{SerialNumberLast4Digits}}
: quatre derniers chiffres du numéro de série de l’appareil -
{{UserId}}
: id utilisateur Intune -
{{UserName}}
: Nom d’utilisateur -
{{userPrincipalName}}
: UPN de l’utilisateur
Remarque
Les variables ne sont pas validées dans l’interface utilisateur et respectent la casse. Par conséquent, vous pouvez voir les profils enregistrés avec une entrée incorrecte. Par exemple, si vous entrez
{{DeviceID}}
, au lieu de{{deviceid}}
ou{{DEVICEID}}
, la chaîne littérale est affichée au lieu de l’ID unique de l’appareil. Veillez à entrer les informations correctes. Toutes les variables en minuscules ou majuscules sont prises en charge, mais pas une combinaison.
Prochaines étapes
Attribuer le profil et suivre son état.
Vous pouvez également créer des profils kiosque d’appareil dédiés pour les appareils Android et Windows 10.
Configurez et dépannez les appareils d’entreprise Android dans Microsoft Intune.