Abandon de l'administration de l'appareil

Résumé

À l'origine, Android permet la gestion des appareils mobiles dans Android 2.2. Depuis, les besoins des entreprises ont évolué. Les appareils accèdent de plus en plus à des ressources plus confidentielles et sont utilisés dans plus de cas d'utilisation que ne l'avait prévu l'API d'administration d'appareils d'origine d'Android. Voici quelques cas d'utilisation:

• Séparation des données professionnelles des données personnelles lors de déploiements mixtes ou BYOD
• Distribution des applications professionnelles et gestion de leurs données via Google Play, et gestion des comptes Google nécessaires à cet effet.
• Verrouillez des appareils dans un kiosque afin de les adapter à l'utilisation d'applications spécifiques.
• Gestion des certificats pour permettre l'accès aux ressources sécurisées par PKI
• Mise en place de VPN par application et par profil pour prendre en charge les applications d'entreprise distantes tout en protégeant la confidentialité.

Dans le même temps, les entreprises ont demandé une relation de confiance plus élevée que celle prévue par l'administrateur d'appareils. Étant donné qu'un administrateur d'appareil peut être activé par n'importe quelle application autorisée par l'utilisateur, il n'est pas compatible avec plusieurs cas d'utilisation en entreprise, tels que:

• Définir la protection contre les réinitialisations d'usine (FRP) pour s'assurer que les appareils restent gérés et peuvent être récupérés lorsque les employés quittent l'entreprise.
• Réinitialisation sécurisée des mots de passe sur les appareils chiffrés.
• Blocage de la suppression de l'administrateur de l'appareil (supprimé dans Nougat pour des raisons de sécurité).
• Mise en place de codes secrets définis par l'administrateur pour empêcher l'utilisateur d'accéder à un appareil (supprimé dans Android 7.0 Nougat pour des raisons de sécurité).

L'administration des appareils est considérée comme une ancienne approche de gestion depuis l'introduction des modes Appareil géré (propriétaire de l'appareil) et profil professionnel (Propriétaire de profil) d'Android dans Android 5.0. Étant donné que l'administration des appareils n'est pas adaptée aux exigences actuelles des entreprises, nous recommandons aux clients et aux partenaires d'adopter les modes Appareil géré et Profil professionnel pour gérer leurs appareils à partir de maintenant. Pour faciliter cette transition et concentrer nos ressources sur les fonctionnalités de gestion actuelles d'Android, nous avons abandonné l'administration d'appareil pour une utilisation professionnelle dans la version 9.0 d'Android. Nous allons supprimer ces fonctions dans la version Android 10.0.

Règles obsolètes

Avec la sortie d'Android 9.0, les règles suivantes sont marquées comme obsolètes lorsqu'elles sont appelées par un administrateur de l'appareil, mais les API continuent de fonctionner normalement.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

À partir de la version Android 10.0, les règles mentionnées ci-dessus génèrent une erreur SecurityException lorsqu'elles sont appelées par un administrateur de l'appareil dans les applications ciblant le niveau d'API 29.

Avec la version Android 11.0, USES_POLICY_RESET_PASSWORD est marqué comme obsolète lorsqu'il est appelé par un administrateur de l'appareil et cesse de fonctionner. Elle génère une exception SecurityException sur les applications ciblant le niveau d'API 24 ou supérieur.

Certaines applications utilisent l'administrateur d'appareil pour administrer les appareils grand public, par exemple pour verrouiller ou effacer un appareil égaré. Les règles suivantes resteront disponibles pour activer cette fonctionnalité:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

Mettre à jour votre implémentation

Pour remplacer les règles de protection du clavier et de mot de passe marquées comme obsolètes dans la section ci-dessus, les applications, y compris celles qui gèrent les déploiements Exchange ActiveSync, doivent utiliser la méthode décrite dans la section Contrôle de la qualité du verrouillage de l'écran.

Calendrier

Android 9.0: l'administrateur de l'appareil est marqué comme obsolète pour une utilisation en entreprise en mettant à jour la documentation. Les fonctionnalités existantes continuent de fonctionner pour les applications ciblant le niveau d'API 28, bien que son utilisation soit déconseillée. Tous les partenaires et clients doivent migrer vers des profils professionnels ou des appareils entièrement gérés avant la sortie d'Android 10.0.

Android 10.0: les règles ci-dessus ne seront plus disponibles pour les DPC ciblant le niveau d'API 29.

Conséquences pour les administrateurs informatiques

Nous recommandons aux partenaires et aux clients de commencer à se préparer dès maintenant à ce changement. L'utilisation de l'administrateur de l'appareil peut être identifiée par un écran (voir la figure 1) lorsque vous activez la gestion de votre appareil:

Si vous utilisez actuellement l'administration des appareils pour gérer vos appareils, deux stratégies sont disponibles pour migrer vers les API de gestion actuelles d'Android. Pour enregistrer un appareil à gérer, vous devez faire appel à un fournisseur de gestion de la mobilité en entreprise (EMM) compatible avec le profil professionnel Android (propriétaire du profil) ou le mode appareil géré (propriétaire de l'appareil). Nous recommandons aux clients de choisir le mode de gestion qui convient le mieux à leur déploiement. Dans certains cas, les deux stratégies peuvent être utilisées simultanément.

Une liste des offres compatibles est disponible sur cette page. Votre fournisseur de logiciels EMM peut fournir des conseils spécifiques sur ses offres de produits.

Gérer des appareils personnels

Les appareils personnels sont compatibles avec le mode profil professionnel d'Android. Un profil professionnel est déployé par un EMM pour fournir un conteneur au niveau de l'OS qui permet de séparer les applications professionnelles et personnelles d'un utilisateur, ainsi que les données présentes sur ses appareils. Les entreprises peuvent déployer des applications à l'aide de Google Play d'entreprise et s'assurent que leurs données ne sont pas partagées accidentellement ou délibérément avec des applications non autorisées. Les administrateurs informatiques peuvent également effacer de manière sélective les données de l'entreprise indépendamment des fichiers de l'utilisateur s'il quitte l'organisation.

Gérer les appareils détenus par l'entreprise

Les appareils Android détenus par l'entreprise sont compatibles avec le déploiement d'appareils en mode Appareil géré. Un appareil géré est enregistré via un EMM, qui permet de gérer le cycle de vie complet de l'appareil Android et de ses données. Cela inclut le verrouillage des fonctionnalités matérielles, la protection contre le rétablissement de la configuration d'usine et le désenregistrement, l'effacement des données administratives à distance et la réinitialisation de l'ensemble de l'appareil, ainsi que la personnalisation des applications, y compris la prise en charge des déploiements en mode kiosque ou application unique. En règle générale, les organisations qui utilisent le mode Appareil géré administrent au moins l'un des trois types de déploiements, qui peuvent être combinés dans tout le parc d'une organisation en fonction de ses besoins:

• Travail uniquement:les déploiements "Travail uniquement" ciblent généralement les nœuds de calcul qui utilisent un appareil pour diverses applications. Cette méthode ne permet pas un usage personnel.
• Fonctionnalités personnelles:les déploiements avec activation personnelle ciblent généralement les travailleurs dont l'employeur leur a fourni un appareil, mais qui souhaitent avoir la possibilité d'utiliser également des applications personnelles sur cet appareil. Le déploiement d'un profil professionnel sur un appareil géré permet à l'employé d'exécuter des applications professionnelles en même temps que des applications personnelles, sans compromettre les données d'entreprise.
• Appareils dédiés:les déploiements d'appareils dédiés englobent généralement les appareils gérés, parfois appelés "appareils appartenant à l'entreprise, à usage unique" ou "COSU", qui bloquent le matériel et les applications pour adapter l'appareil aux fonctions spécifiques qu'un employé doit effectuer.

Nous vous recommandons de déployer les appareils détenus par l'entreprise en tant qu'appareils gérés, car cela permet de gérer l'ensemble du cycle de vie de l'appareil, y compris les règles d'effacement complet de l'appareil et de protection après rétablissement de sa configuration d'usine.

Conseils de migration pour les clients

BYOD: administrateur de l'appareil pour les déploiements d'un profil professionnel

Nous vous recommandons d'utiliser des profils professionnels pour tous les appareils personnels. La migration de l'ancien administrateur de l'appareil vers un profil professionnel peut être gérée avec un minimum de perturbations. Pour ce faire, il suffit d'installer un profil professionnel sur les appareils personnels ou d'enregistrer les nouveaux appareils avec un profil professionnel lorsque les appareils existants sont retirés du parc.

Appareils détenus par l'entreprise: administrateur de l'appareil sur appareil géré

Nous vous recommandons de configurer les appareils détenus par l'entreprise en tant qu'appareils entièrement gérés. Pour faire passer un appareil de l'administrateur de l'appareil à un appareil géré, vous devez rétablir sa configuration d'usine. Étant donné que cela perturbe davantage les utilisateurs, nous vous suggérons une adoption progressive, dans laquelle les nouveaux appareils sont enregistrés en tant qu'appareils entièrement gérés, mais les appareils existants restent sous l'administration des appareils.

Types de migrations

Certaines stratégies de migration générales sont brièvement définies comme suit:

• Big bang:un grand nombre d'utilisateurs existants sont invités à passer à un appareil géré ou à un profil professionnel après une ou plusieurs grandes vagues de mises à niveau.

• Adoption par étapes:les nouveaux utilisateurs et les nouveaux appareils sont configurés avec les nouveaux modes de gestion au fur et à mesure de leur enregistrement. Les appareils d'administration plus anciens sont retirés du parc en raison de l'usure naturelle.

Questions fréquentes

Qu'en est-il des appareils plus anciens ?

Lors de la sortie d'Android 10.0, tous les appareils qui l'exécutent devraient être compatibles avec les modes appareil géré ou profil professionnel. Les appareils plus anciens peuvent être migrés comme décrit précédemment ou être gérés à l'aide de l'administrateur d'appareils jusqu'à leur remplacement.

Que se passe-t-il si je possède des applications qui ne sont pas fournies par un fournisseur EMM et qui utilisent l'administration de l'appareil ?

Parfois, des applications telles qu'une application de messagerie peuvent devenir administrateur d'appareil en réponse à des règles d'entreprise appliquées aux serveurs de messagerie. Ces applications seront soumises aux mêmes restrictions à partir de la version d'Android 10.0: elles peuvent devenir administrateurs d'appareils, mais ne pourront pas appliquer de règles de mots de passe ni de restrictions matérielles. Selon le cas d'utilisation, ces applications peuvent:

• Gonfler eux-mêmes un profil professionnel (devenir un DPC)
• Invitez l'utilisateur à configurer l'application dans un autre EMM (sous le contrôle d'un autre DPC si nécessaire).
• choisir d'appliquer leurs propres restrictions concernant les mots de passe (dans l'application) ;

Nous recommandons que ces applications disposent d'un mécanisme permettant de détecter si un appareil est géré par un fournisseur EMM et de s'en charger au fournisseur EMM. Cette détection peut être obtenue via un échange de jetons via la gestion de la configuration mobile (MCM).

Que se passe-t-il lors de la sortie d'Android 10.0 ?

Les comportements obsolètes cesseront de fonctionner et renverront une exception de sécurité pour les applications exécutant Android 10.0 et ciblant ce niveau d'API.