Partager via


Paramètres de conformité des appareils pour Android Entreprise dans Intune

Cet article répertorie et décrit les différents paramètres de conformité que vous pouvez configurer sur les appareils Android Enterprise dans Intune. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour marquer les appareils rootés comme non conformes, définir un niveau de menace autorisé, activer Google Play Protect, etc.

Cette fonctionnalité s’applique à :

  • Android Entreprise

En tant qu’administrateur Intune, utilisez ces paramètres de conformité pour protéger vos ressources organisationnelles. Pour en savoir plus sur les stratégies de conformité et leur action, consultez Prise en main de la conformité des appareils.

Importante

Il est important de cibler des stratégies de conformité pour les appareils dédiés sur des groupes d’appareils, et non sur des utilisateurs. Les stratégies de conformité sont évaluées par rapport à l’appareil et reflètent correctement l’état de conformité dans Intune. Pour permettre aux utilisateurs sur des appareils dédiés de se connecter à des ressources protégées par des stratégies d’accès conditionnel, envisagez d’utiliser des appareils Android Entreprise dédiés avec Microsoft Entra mode d’appareil partagé. Dans les scénarios avec des appareils entièrement gérés ou des profils professionnels personnels et d’entreprise, vous pouvez cibler des stratégies de conformité sur des groupes d’utilisateurs ou d’appareils.

Les utilisateurs sur des appareils dédiés inscrits sans Microsoft Entra mode d’appareil partagé ne peuvent pas se connecter aux ressources protégées par des stratégies d’accès conditionnel, même si l’appareil est conforme dans Intune. Pour en savoir plus sur le mode d’appareil partagé, consultez Vue d’ensemble du mode d’appareil partagé dans la documentation Microsoft Entra.

Avant de commencer

Créez une stratégie de conformité d’appareil pour accéder aux paramètres disponibles. Pour Plateforme, sélectionnez Android Entreprise.

Profil professionnel entièrement managé, dédié et appartenant à l’entreprise

Cette section décrit les paramètres de profil de conformité disponibles pour les appareils entièrement gérés, les appareils dédiés et les appareils appartenant à l’entreprise avec des profils professionnels. Les catégories de paramètres sont les suivantes :

  • Microsoft Defender pour point de terminaison
  • Intégrité de l’appareil
  • Propriétés du périphérique
  • Sécurité système

Microsoft Defender pour point de terminaison

  • Exiger que l’appareil ait un score inférieur ou égal au score de risque machine

    Sélectionnez le score de risque machine maximal autorisé pour les appareils évalués par Microsoft Defender pour point de terminaison. Les appareils qui dépassent ce score sont marqués comme non conformes.

    • Non configuré (par défaut)
    • Clear
    • Faible
    • Moyenne
    • High

Remarque

Microsoft Defender pour point de terminaison peut ne pas être pris en charge sur tous les types d’inscription Android Enterprise. En savoir plus sur les scénarios pris en charge.

Intégrité de l’appareil

  • Exiger que l’appareil soit au niveau de menace pour l’appareil ou en dessous
    Sélectionnez le niveau de menace d’appareil maximal autorisé évalué par votre service de défense contre les menaces mobiles. Les appareils qui dépassent ce niveau de menace sont marqués comme non conformes. Pour utiliser ce paramètre, choisissez le niveau de menace autorisé :

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Sécurisé : cette option est la plus sécurisée et signifie que l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté avec un niveau quelconque de menaces, il est évalué comme non conforme.
    • Faible : - L’appareil est évalué comme conforme si seules les menaces de bas niveau sont présentes. La présence de menaces de niveau supérieur rend l’appareil non conforme.
    • Moyen : l’appareil est évalué comme conforme si les menaces présentes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme présentant des menaces de haut niveau, il est déterminé comme non conforme.
    • Élevé : cette option est la moins sécurisée, car elle autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.

Remarque

Tous les fournisseurs de défense contre les menaces mobiles (MTD) sont pris en charge sur les déploiements android enterprise entièrement managés, dédiés et Corporate-Owned profil professionnel à l’aide de la configuration de l’application. Vérifiez auprès de votre fournisseur MTD la configuration exacte nécessaire pour prendre en charge les plateformes Android Enterprise entièrement managées, dédiées et Corporate-Owned profil professionnel sur Intune.

Google Play Protect

Importante

Google Play Protect fonctionne dans les emplacements où Google Mobile Services est disponible. Les appareils fonctionnant dans des régions ou des pays où Google Mobile Services n’est pas disponible échouent à l’évaluation des paramètres de stratégie de conformité Google Play Protect. Pour plus d’informations, consultez Gestion des appareils Android pour lesquels Google Mobile Services n’est pas disponible.

  • Verdict de l’intégrité de la lecture
    Sélectionnez le type de vérifications d’intégrité que les appareils doivent réussir pour rester conformes. Intune évalue le verdict d’intégrité de Play pour déterminer la conformité. Les options disponibles sont les suivantes :

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Vérifier l’intégrité de base : exiger que les appareils passent la case activée d’intégrité de base de Play.
    • Vérifier l’intégrité de base & l’intégrité de l’appareil : demandez aux appareils de passer les case activée d’intégrité de base de Play et les case activée d’intégrité de l’appareil.
  • Vérifier l’intégrité à l’aide des fonctionnalités de sécurité matérielles
    Si vous le souhaitez, vous pouvez exiger que les appareils passent une case activée d’intégrité forte. Ce paramètre est disponible uniquement si vous avez besoin de vérifications d’intégrité de base ou de vérifications de l’intégrité de l’appareil. Les options disponibles sont les suivantes :

    • Non configuré (valeur par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité. Intune évalue le verdict de la case activée d’intégrité de base par défaut.
    • Vérifier l’intégrité forte : exiger que les appareils passent la case activée d’intégrité forte de Play. Tous les appareils ne prennent pas en charge ce type de case activée. Intune marque ces appareils comme non conformes.

    Pour plus d’informations sur les services d’intégrité de Google Play, consultez la documentation pour les développeurs Android suivantes :

Propriétés du périphérique

Version du système d'exploitation

  • Version minimale du système d’exploitation
    Lorsqu’un appareil ne répond pas à la configuration requise pour la version minimale du système d’exploitation, il est signalé comme non conforme. Les utilisateurs d’appareils voient un lien contenant des informations sur la mise à niveau de leur système d’exploitation. Ils peuvent mettre à niveau leur appareil, puis accéder à organization ressources.

    Par défaut, aucune version n’est configurée.

  • Version maximale du système d’exploitation
    Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version de la règle, l’accès aux ressources organization est bloqué. L’utilisateur est invité à contacter son administrateur informatique. Tant qu’une règle n’est pas modifiée pour autoriser la version du système d’exploitation, cet appareil ne peut pas accéder aux ressources organization.

    Par défaut, aucune version n’est configurée.

  • Niveau minimal du correctif de sécurité
    Sélectionnez le niveau de correctif de sécurité le plus ancien qu’un appareil peut avoir. Les appareils qui ne sont pas au moins à ce niveau de correctif ne sont pas conformes. La date doit être entrée au format AAAA-MM-JJ.

    Par défaut, aucune date n’est configurée.

Sécurité système

  • Exiger un mot de passe pour déverrouiller des appareils mobiles

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil.
  • Type de mot de passe requis
    Choisissez si un mot de passe doit inclure uniquement des caractères numériques, ou une combinaison de chiffres et d’autres caractères. Les options disponibles sont les suivantes :

    • Valeur par défaut de l’appareil : pour évaluer la conformité du mot de passe, veillez à sélectionner une force de mot de passe autre que la valeur par défaut de l’appareil. Le système d’exploitation peut ne pas nécessiter de mot de passe d’appareil par défaut. Il est donc préférable de sélectionner un autre type de mot de passe pour un contrôle et une cohérence plus élevés sur tous les appareils.
    • Mot de passe requis, aucune restriction
    • Biométrie faible : pour plus d’informations sur ce type de mot de passe, consultez Biométrie forte ou faible (ouvre le blog des développeurs Android).
    • Numérique (valeur par défaut) : le mot de passe doit être uniquement des nombres, tels que 123456789.
    • Numérique complexe : les chiffres répétés ou consécutifs, tels que 1111 ou 1234, ne sont pas autorisés.
    • Alphabétique : les lettres de l’alphabet sont obligatoires. Les nombres et les symboles ne sont pas obligatoires.
    • Alphanumérique : comprend des majuscules, des lettres minuscules et des caractères numériques.
    • Alphanumérique avec symboles : inclut des lettres majuscules , des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles.

    Les autres paramètres varient selon le type de mot de passe. Les paramètres suivants s’affichent le cas échéant :

    • Longueur minimale du mot de passe
      Entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères.

    • Nombre de caractères requis
      Entrez le nombre de caractères que le mot de passe doit contenir, entre 0 et 16 caractères.

    • Nombre de caractères minuscules requis
      Entrez le nombre de caractères minuscules que le mot de passe doit contenir, compris entre 0 et 16 caractères.

    • Nombre de caractères majuscules requis
      Entrez le nombre de caractères majuscules dont le mot de passe doit contenir, compris entre 0 et 16 caractères.

    • Nombre de caractères autres que des lettres requis
      Entrez entre 0 et 16 caractères le nombre de lettres autres que des lettres de l’alphabet.

    • Nombre de caractères numériques requis
      Entrez le nombre de caractères numériques (1, , 23, etc.) que le mot de passe doit comporter, compris entre 0 et 16 caractères.

    • Nombre de caractères de symbole requis
      Entrez le nombre de caractères de symbole (&, , #%, etc.) que le mot de passe doit comporter, compris entre 0 et 16 caractères.

    • Nombre maximal de minutes d’inactivité avant demande du mot de passe
      Entrez le temps d’inactivité avant que l’utilisateur ne doit entrer à nouveau son mot de passe. Les options incluent la valeur par défaut Non configuré et de 1 minute à 8 heures.

    • Nombre de jours avant expiration du mot de passe
      Entrez le nombre de jours, compris entre 1 et 365, jusqu’à ce que le mot de passe de l’appareil soit modifié. Par exemple, pour exiger une modification du mot de passe après 60 jours, entrez 60. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe.

      Par défaut, aucune valeur n’est configurée.

    • Nombre de mots de passe obligatoires avant que l’utilisateur puisse en réutiliser un
      Entrez le nombre de mots de passe récents qui ne peuvent pas être réutilisés, entre 1 et 24. Utilisez ce paramètre pour empêcher l’utilisateur de créer des mots de passe précédemment utilisés.

      Par défaut, aucune version n’est configurée.

Chiffrement

  • Exiger le chiffrement du stockage des données sur l’appareil

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : chiffrez le stockage des données sur vos appareils.

    Vous n’avez pas besoin de configurer ce paramètre, car les appareils Android Enterprise appliquent le chiffrement.

Sécurité des appareils

  • Intégrité du runtime de l’application Intune
    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : chiffrez le stockage des données sur vos appareils.

Profil professionnel appartenant à l’utilisateur

Cette section décrit les paramètres de profil de conformité disponibles pour les appareils personnels qui s’inscrivent avec des profils professionnels. Les catégories de paramètres sont les suivantes :

  • Microsoft Defender pour point de terminaison
  • Intégrité de l’appareil
  • Propriétés du périphérique
  • Sécurité système

Microsoft Defender pour point de terminaison pour un profil professionnel appartenant à l’utilisateur

  • Exiger que l’appareil ait un score inférieur ou égal au score de risque machine
    Sélectionnez le score de risque machine maximal autorisé pour les appareils évalués par Microsoft Defender pour point de terminaison. Les appareils qui dépassent ce score sont marqués comme non conformes.
    • Non configuré (par défaut)
    • Clear
    • Faible
    • Moyenne
    • High

Intégrité de l’appareil : pour le profil professionnel appartenant à l’utilisateur

  • Appareils rootés

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Bloquer : marquez les appareils rootés comme non conformes.
  • Exiger que l’appareil soit au niveau de menace pour l’appareil ou en dessous
    Sélectionnez le niveau de menace d’appareil maximal autorisé évalué par votre service de défense contre les menaces mobiles. Les appareils qui dépassent ce niveau de menace sont marqués comme non conformes. Pour utiliser ce paramètre, choisissez le niveau de menace autorisé :

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Sécurisé : cette option est la plus sécurisée et signifie que l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté avec un niveau quelconque de menaces, il est évalué comme non conforme.
    • Faible : l’appareil est évalué comme conforme si seules les menaces de bas niveau sont présentes. La présence de menaces de niveau supérieur rend l’appareil non conforme.
    • Moyen : l’appareil est évalué comme conforme si les menaces présentes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme présentant des menaces de haut niveau, il est déterminé comme non conforme.
    • Élevé : cette option est la moins sécurisée, car elle autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.

Google Play Protect - pour profil professionnel appartenant à l’utilisateur

Importante

Google Play Protect fonctionne dans les emplacements où Google Mobile Services est disponible. Les appareils fonctionnant dans des régions ou des pays où Google Mobile Services n’est pas disponible échouent à l’évaluation des paramètres de stratégie de conformité Google Play Protect. Pour plus d’informations, consultez Gestion des appareils Android pour lesquels Google Mobile Services n’est pas disponible.

  • Google Play Services est configuré

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : exiger que l’application des services Google Play soit installée et activée. L’application des services Google Play active les mises à jour de sécurité et constitue une dépendance de niveau de base pour de nombreuses fonctionnalités de sécurité sur les appareils google certifiés.
  • Fournisseur de sécurité à jour

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : exiger qu’un fournisseur de sécurité à jour puisse protéger un appareil contre les vulnérabilités connues.
  • Verdict de l’intégrité de la lecture
    Sélectionnez le type de vérifications d’intégrité que les appareils doivent réussir pour rester conformes. Intune évalue le verdict d’intégrité de Play pour déterminer la conformité. Les options disponibles sont les suivantes :

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Vérifier l’intégrité de base : exiger que les appareils passent la case activée d’intégrité de base de Play.
    • Vérifier l’intégrité de base & l’intégrité de l’appareil : demandez aux appareils de passer les case activée d’intégrité de base de Play et les case activée d’intégrité de l’appareil.
  • Vérifier l’intégrité à l’aide des fonctionnalités de sécurité matérielles
    Si vous le souhaitez, vous pouvez exiger que les appareils passent une case activée d’intégrité forte. Ce paramètre est disponible uniquement si vous avez besoin de vérifications d’intégrité de base ou de vérifications de l’intégrité de l’appareil. Les options disponibles sont les suivantes :

    • Non configuré (valeur par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité. Intune évalue l’intégrité de base case activée par défaut.
    • Vérifier l’intégrité forte : exiger que les appareils passent la case activée d’intégrité forte de Play. Tous les appareils ne prennent pas en charge ce type de case activée. Intune marque ces appareils comme non conformes.

    Pour plus d’informations sur les services d’intégrité de Google Play, consultez la documentation pour les développeurs Android suivantes :

Conseil

Intune a également une stratégie qui exige que Play Protect analyse les applications installées à la recherche de menaces. Vous pouvez configurer ce paramètre dans une stratégie de configuration d’appareil Android Entreprise sous Restrictions d’appareil>Sécurité du système. Pour plus d’informations, consultez Paramètres de restriction des appareils Android Enterprise.

Propriétés de l’appareil : pour le profil professionnel appartenant à l’utilisateur

Version du système d’exploitation : pour le profil professionnel appartenant à l’utilisateur

  • Version minimale du système d’exploitation
    Lorsqu’un appareil ne répond pas à la configuration requise pour la version minimale du système d’exploitation, il est signalé comme non conforme. Les utilisateurs d’appareils voient un lien contenant des informations sur la mise à niveau de leur système d’exploitation. Ils peuvent mettre à niveau leur appareil, puis accéder à organization ressources.

    Par défaut, aucune version n’est configurée.

  • Version maximale du système d’exploitation
    Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version de la règle, l’accès aux ressources organization est bloqué. L’utilisateur est invité à contacter son administrateur informatique. Tant qu’une règle n’est pas modifiée pour autoriser la version du système d’exploitation, cet appareil ne peut pas accéder aux ressources organization.

    Par défaut, aucune version n’est configurée.

Sécurité du système : pour le profil professionnel appartenant à l’utilisateur

Chiffrement : pour le profil professionnel appartenant à l’utilisateur

  • Exiger le chiffrement du stockage des données sur l’appareil

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : chiffrez le stockage des données sur vos appareils.

    Vous n’avez pas besoin de configurer ce paramètre, car les appareils Android Enterprise appliquent le chiffrement.

Sécurité de l’appareil : pour le profil professionnel appartenant à l’utilisateur

  • Bloquer les applications provenant de sources inconnues

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Bloquer : bloquer les appareils avec des sources de sécurité>inconnues activées (pris en charge sur Android 4.0 à Android 7.x. Non pris en charge par Android 8.0 et versions ultérieures).

    Pour charger une version test des applications, des sources inconnues doivent être autorisées. Si vous ne chargez pas de côté les applications Android, définissez cette fonctionnalité sur Bloquer pour activer cette stratégie de conformité.

    Importante

    Le chargement indépendant des applications nécessite que le paramètre Bloquer les applications provenant de sources inconnues soit activé. Appliquez cette stratégie de conformité uniquement si vous ne chargez pas d’applications Android sur des appareils.

    Vous n’avez pas besoin de configurer ce paramètre, car les appareils Android Entreprise limitent toujours l’installation à partir de sources inconnues.

  • Intégrité du runtime de l’application Portail d’entreprise

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : choisissez Exiger pour confirmer que l’application Portail d'entreprise répond à toutes les exigences suivantes :
      • L’environnement d’exécution par défaut est installé
      • Est correctement signé
      • N’est pas en mode débogage
      • Est installé à partir d’une source connue
  • Bloquer le débogage USB sur l’appareil

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Bloquer : empêcher les appareils d’utiliser la fonctionnalité de débogage USB.

    Vous n’avez pas besoin de configurer ce paramètre, car le débogage USB est déjà désactivé sur les appareils Android Enterprise.

  • Niveau minimal du correctif de sécurité
    Sélectionnez le niveau de correctif de sécurité le plus ancien qu’un appareil peut avoir. Les appareils qui ne sont pas au moins à ce niveau de correctif ne sont pas conformes. La date doit être entrée au format AAAA-MM-JJ.

    Par défaut, aucune date n’est configurée.

  • Exiger un mot de passe pour déverrouiller des appareils mobiles

    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil.

    Ce paramètre s’applique au niveau de l’appareil. Si vous avez uniquement besoin d’un mot de passe au niveau du profil professionnel, utilisez une stratégie de configuration. Pour plus d’informations, consultez Paramètres de configuration des appareils Android Enterprise.

Importante

Lorsqu’un profil professionnel appartenant à l’utilisateur est activé, les codes secrets de l’appareil et du profil professionnel sont combinés par défaut afin que le même code secret soit utilisé aux deux endroits. Intune applique le niveau de complexité plus élevé des deux. L’utilisateur de l’appareil peut utiliser deux codes secrets distincts s’il accède aux paramètres de son profil professionnel et désélectionne Utiliser un verrou. Pour vous assurer que les utilisateurs d’appareils utilisent deux codes secrets distincts lors de l’inscription, créez un profil de configuration d’appareil qui empêche les utilisateurs de l’appareil d’utiliser un seul verrou.

  1. Dans le centre d’administration, créez un profil de configuration d’appareil.
  2. Pour type de profil, sélectionnez Restrictions d’appareil.
  3. Développez Paramètres du profil professionnel et accédez à Mot de passe> du profil professionnelTous les appareils Android.
  4. Recherchez la restriction Un verrou pour l’appareil et le profil professionnel. Sélectionnez Bloquer.
Tous les appareils Android - Sécurité des appareils
  • Nombre de jours avant expiration du mot de passe
    Entrez le nombre de jours, compris entre 1 et 365, jusqu’à ce que le mot de passe de l’appareil soit modifié. Par exemple, pour exiger une modification du mot de passe après 60 jours, entrez 60. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe.

  • Nombre de mots de passe précédents avant d’autoriser leur réutilisation
    Utilisez ce paramètre pour empêcher les utilisateurs de réutiliser les anciens mots de passe. Entrez le nombre de mots de passe que vous souhaitez empêcher leur réutilisation, compris entre 1 et 24. Par exemple, entrez 5 afin que les utilisateurs ne puissent pas réutiliser leurs 5 mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Nombre maximal de minutes d’inactivité avant demande du mot de passe
    Entrez le temps d’inactivité maximal autorisé, de 1 minute à 8 heures. Après ce laps de temps, l’utilisateur doit entrer à nouveau son mot de passe pour revenir sur son appareil. Lorsque vous choisissez Non configuré (valeur par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.

Android 12 et versions ultérieures - Sécurité des appareils
  • Complexité du mot de passe
    Sélectionnez les exigences de complexité de mot de passe pour les appareils exécutant Android 12 et versions ultérieures. Les options disponibles sont les suivantes :

    • Aucun : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Faible : les modèles ou les codes confidentiels avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont autorisés.
    • Moyenne : la longueur, la longueur alphabétique ou la longueur alphanumérique doit comporter au moins 4 caractères. Les codes confidentiels avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloqués.
    • Élevé : la longueur doit être d’au moins 8 caractères. La longueur alphabétique ou alphanumérique doit être d’au moins 6 caractères. Les codes confidentiels avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloqués.

    Ce paramètre affecte deux mots de passe sur l’appareil :

    • Mot de passe de l’appareil qui déverrouille l’appareil.
    • Mot de passe du profil professionnel qui permet aux utilisateurs d’accéder au profil professionnel.

    Si la complexité du mot de passe de l’appareil est trop faible, le mot de passe de l’appareil est automatiquement modifié pour exiger un niveau de complexité élevé. Les utilisateurs finaux doivent mettre à jour le mot de passe de l’appareil pour répondre aux exigences de complexité. Ensuite, lorsqu’ils se connectent au profil professionnel, ils sont invités à mettre à jour leur mot de passe de profil professionnel pour qu’il corresponde au niveau de complexité que vous configurez sousComplexité du mot de passede sécurité> du profil professionnel.

    Importante

    Avant la disponibilité du paramètre de complexité du mot de passe, les paramètres Type de mot de passe requis et Longueur minimale du mot de passe ont été utilisés. Ces paramètres sont toujours disponibles, mais Google les a dépréciés pour les appareils personnels avec un profil professionnel.

    Voici ce que vous devez savoir :

    • Si le paramètre Type de mot de passe requis est modifié à partir de la valeur par défaut de l’appareil dans une stratégie, alors :

      • Les appareils Android Enterprise 12+ nouvellement inscrits utilisent automatiquement le paramètre complexité du mot de passe avec la complexité élevée . Par conséquent, si vous ne souhaitez pas une complexité de mot de passe élevée , créez une stratégie pour les appareils Android Enterprise 12+ et configurez le paramètre Complexité du mot de passe .

      • Les appareils Android Enterprise 12+ existants continueront d’utiliser le paramètre Type de mot de passe requis et la valeur existante configurée.

        Si vous modifiez une stratégie existante avec le paramètre Type de mot de passe requis déjà configuré, les appareils Android Enterprise 12+ utilisent automatiquement le paramètre Complexité du mot de passe avec la complexité élevée .

        Pour les appareils Android Enterprise 12+, il est recommandé de configurer le paramètre de complexité du mot de passe .

    • Si le paramètre Type de mot de passe requis n’est pas modifié par rapport à la valeur par défaut de l’appareil dans une stratégie, aucune stratégie de mot de passe n’est automatiquement appliquée aux appareils Android Enterprise 12+ nouvellement inscrits.

Android 11 et versions antérieures - Sécurité des appareils

Importante

Google a déconseillé les paramètres Type de mot de passe requis et Longueur minimale du mot de passe pour Android 12 et versions ultérieures. À la place de ces paramètres, utilisez le paramètre de complexité du mot de passe sous Android 12 et versions ultérieures. Si vous continuez à utiliser les paramètres déconseillés sans configurer le paramètre de complexité du mot de passe, les nouveaux appareils exécutant Android 12 ou version ultérieure seront par défaut à une complexité de mot de passe élevée. Pour plus d’informations sur cette modification et sur la façon dont elle affecte les mots de passe sur les appareils nouveaux et existants, consultez Android 12 et versions ultérieures - sécurité des appareils dans cet article.

  • Type de mot de passe requis
    Choisissez si un mot de passe doit inclure uniquement des caractères numériques, ou une combinaison de chiffres et d’autres caractères. Les options disponibles sont les suivantes :

    • Valeur par défaut de l’appareil : pour évaluer la conformité du mot de passe, veillez à sélectionner une force de mot de passe autre que la valeur par défaut de l’appareil. Le système d’exploitation peut ne pas nécessiter de mot de passe d’appareil par défaut. Il est donc préférable de sélectionner un autre type de mot de passe pour un contrôle et une cohérence plus élevés sur tous les appareils.
    • Biométrie à faible sécurité : pour plus d’informations sur ce type de mot de passe, consultez Biométrie forte ou faible (ouvre le blog des développeurs Android).
    • Au moins numérique (valeur par défaut) : exiger des caractères numériques, tels que 123456789.
    • Complexe numérique : les chiffres répétés ou consécutifs, tels que 1111 ou 1234, ne sont pas autorisés. Entrez également :
    • Au moins alphabétique : exiger des lettres de l’alphabet. Les nombres et les symboles ne sont pas obligatoires. Entrez également :
    • Au moins alphanumérique : exiger des lettres majuscules, des lettres minuscules et des caractères numériques.
    • Au moins alphanumérique avec des symboles : exiger des lettres majuscules, des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles.
  • Longueur minimale du mot de passe
    Ce paramètre s’affiche pour certains types de mot de passe. Entrez le nombre minimal de caractères requis, compris entre 4 et 16 caractères.

Sécurité du profil professionnel : pour le profil professionnel appartenant à l’utilisateur

Si vous ne configurez pas les exigences de mot de passe, l’utilisation d’un mot de passe de profil professionnel est facultative et laissée aux utilisateurs de le configurer.

  • Exiger un mot de passe pour déverrouiller le profil professionnel
    Exiger que les utilisateurs de l’appareil disposent d’un profil professionnel protégé par mot de passe. Les options disponibles sont les suivantes :
    • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Exiger : les utilisateurs doivent entrer un mot de passe pour accéder à leur profil professionnel.
Tous les appareils Android - Sécurité des profils professionnels
  • Nombre de jours avant expiration du mot de passe
    Entrez le nombre de jours, compris entre 1 et 365, jusqu’à ce que le mot de passe du profil professionnel soit modifié. Par exemple, pour exiger une modification du mot de passe après 60 jours, entrez 60. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe.

  • Nombre de mots de passe précédents avant d’autoriser leur réutilisation
    Utilisez ce paramètre pour empêcher les utilisateurs de réutiliser les anciens mots de passe. Entrez le nombre de mots de passe que vous souhaitez empêcher leur réutilisation, compris entre 1 et 24. Par exemple, entrez 5 afin que les utilisateurs ne puissent pas réutiliser leurs 5 mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Nombre maximal de minutes d’inactivité avant demande du mot de passe
    Entrez le temps d’inactivité maximal autorisé, de 1 minute à 8 heures. Après ce laps de temps, l’utilisateur doit entrer à nouveau son mot de passe pour revenir à son profil professionnel. Lorsque vous choisissez Non configuré (valeur par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.

Android 12 et versions ultérieures - Sécurité des profils professionnels
  • Complexité du mot de passe
    Sélectionnez l’exigence de complexité de mot de passe pour les profils professionnels sur les appareils exécutant Android 12 et versions ultérieures. Les options disponibles sont les suivantes :

    • Aucun : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
    • Faible : un modèle ou un code pin avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont autorisés.
    • Moyenne : la longueur, la longueur alphabétique ou la longueur alphanumérique doit comporter au moins 4 caractères. Les codes confidentiels avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloqués.
    • Élevé : la longueur doit être d’au moins 8 caractères. La longueur alphabétique ou alphanumérique doit être d’au moins 6 caractères. Les codes confidentiels avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloqués.

    Ce paramètre affecte deux mots de passe sur l’appareil :

    • Mot de passe de l’appareil qui déverrouille l’appareil.
    • Mot de passe du profil professionnel qui permet aux utilisateurs d’accéder au profil professionnel.

    Si la complexité du mot de passe de l’appareil est trop faible, le mot de passe de l’appareil est automatiquement modifié pour exiger un niveau de complexité élevé. Les utilisateurs finaux doivent mettre à jour le mot de passe de l’appareil pour répondre aux exigences de complexité. Ensuite, lorsqu’ils se connectent au profil professionnel, ils sont invités à mettre à jour leur mot de passe de profil professionnel pour qu’il corresponde à la complexité que vous configurez ici.

    Importante

    Avant la disponibilité du paramètre de complexité du mot de passe, les paramètres Type de mot de passe requis et Longueur minimale du mot de passe ont été utilisés. Ces paramètres sont toujours disponibles, mais Google les a depuis dépréciés pour les appareils personnels avec un profil professionnel.

    Voici ce que vous devez savoir :

    • Si le paramètre Type de mot de passe requis est modifié à partir de la valeur par défaut de l’appareil dans une stratégie, alors :

      • Les appareils Android Enterprise 12+ nouvellement inscrits utilisent automatiquement le paramètre complexité du mot de passe avec la complexité élevée . Par conséquent, si vous ne souhaitez pas une complexité de mot de passe élevée , créez une stratégie pour les appareils Android Enterprise 12+ et configurez le paramètre Complexité du mot de passe .

      • Les appareils Android Enterprise 12+ existants continueront d’utiliser le paramètre Type de mot de passe requis et la valeur existante configurée.

        Si vous modifiez une stratégie existante avec le paramètre Type de mot de passe requis déjà configuré, les appareils Android Enterprise 12+ utilisent automatiquement le paramètre Complexité du mot de passe avec la complexité élevée .

        Pour les appareils Android Enterprise 12+, il est recommandé de configurer le paramètre de complexité du mot de passe .

    • Si le paramètre Type de mot de passe requis n’est pas modifié par rapport à la valeur par défaut de l’appareil dans une stratégie, aucune stratégie de mot de passe n’est automatiquement appliquée aux appareils Android Enterprise 12+ nouvellement inscrits.

Android 11 et versions antérieures - Sécurité des profils professionnels

Ces paramètres de mots de passe s’appliquent aux appareils exécutant Android 11 et versions antérieures.

Importante

Google a déconseillé les paramètres Type de mot de passe requis et Longueur minimale du mot de passe pour Android 12 et versions ultérieures. À la place de ces paramètres, utilisez le paramètre de complexité du mot de passe sous Android 12 et versions ultérieures. Si vous continuez à utiliser les paramètres déconseillés sans configurer le paramètre de complexité du mot de passe, les nouveaux appareils exécutant Android 12 ou version ultérieure seront par défaut à une complexité de mot de passe élevée. Pour plus d’informations sur cette modification et sur son impact sur les mots de passe de profil professionnel sur les appareils nouveaux et existants, consultez Android 12 et versions ultérieures - Sécurité des profils professionnels dans cet article.

  • Type de mot de passe requis
    Demander aux utilisateurs d’utiliser un certain type de mot de passe. Les options disponibles sont les suivantes :
    • Valeur par défaut de l’appareil : pour évaluer la conformité du mot de passe, veillez à sélectionner une force de mot de passe autre que la valeur par défaut de l’appareil. Le système d’exploitation n’a peut-être pas besoin d’un mot de passe de profil professionnel par défaut. Il est donc préférable de sélectionner un autre type de mot de passe pour un meilleur contrôle et une plus grande cohérence sur tous les appareils.
    • Biométrie à faible sécurité : pour plus d’informations sur ce type de mot de passe, consultez Biométrie forte ou faible (ouvre le blog des développeurs Android).
    • Au moins numérique (valeur par défaut) : exiger des caractères numériques, tels que 123456789.
    • Complexe numérique : les chiffres répétés ou consécutifs, tels que 1111 ou 1234, ne sont pas autorisés.
    • Au moins alphabétique : exiger des lettres de l’alphabet. Les nombres et les symboles ne sont pas obligatoires.
    • Au moins alphanumérique : exiger des lettres majuscules, des lettres minuscules et des caractères numériques.
    • Au moins alphanumérique avec des symboles : exiger des lettres majuscules, des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles.
  • Longueur minimale du mot de passe
    Ce paramètre s’affiche pour certains types de mot de passe. Entrez le nombre minimal de caractères requis, compris entre 4 et 16 caractères.

Étapes suivantes