Administration de terminaux mobiles : intégrer Android Enterprise avec Intune
Les organisations qui déploient des terminaux Android gagneraient à se pencher sur les API d’Android Enterprise pour les contrôler, mais elles ont besoin d’intégration avec une plateforme d’administration.
Les administrateurs qui gèrent des terminaux Android doivent intégrer les API appropriées à leur plateforme d’administration pour s’assurer de disposer du contrôle nécessaire sur ces appareils.
L’administration des terminaux Android dans l’entreprise a commencé avec l’API Device Administration, également connue sous le nom de Device Admin, mais ses fonctionnalités étaient très limitées. Pour fournir une approche complète, Google a introduit Android Enterprise avec Android 5.0. Android Enterprise fournit des API que les administrateurs peuvent facilement intégrer à toute plateforme d’administration de terminaux mobiles (MDM) ou d’administration unifiée des terminaux (UEM).
Conditions requises pour l’intégration d’Android Enterprise
Les plateformes d’administration des terminaux peuvent utiliser l’API Google Play EMM et l’API Android Management pour traiter les différentes API d’Android Enterprise. La première permet aux plateformes de créer leur Device Policy Controller (DPC) – l’agent sur l’appareil – pour appliquer les configurations requises. La seconde repose entièrement sur de nouvelles API et un DPC fournis par Google.
Même si les différentes API n’affichent pas une parité fonctionnelle totale, Google préfère l’API Android Management. Il n’est en outre plus possible d’enregistrer un nouveau DPC qui utiliserait l’API Google Play EMM. Certaines plateformes d’administration, comme Intune de Microsoft Endpoint Manager, s’appuient déjà sur l’API Android Management. Ces plateformes s’en remettent à Google pour les nouvelles fonctionnalités liées à cette API.
Afin que n’importe quelle plateforme puisse administrer les appareils Android Enterprise, la seule exigence est un compte Google Play administré. Il peut même s’agir d’un compte Google personnel, mais la meilleure pratique consiste à utiliser un compte d’entreprise pour éviter les problèmes de confidentialité. Si les administrateurs utilisent Microsoft Intune dans le cadre de Microsoft Endpoint Manager, ils peuvent connecter leur compte Intune au compte Google Play administré.
Avantages de l’intégration d’Android Enterprise
Android Enterprise offre de nombreux avantages aux organisations, notamment grâce aux modes « terminal administré » (propriétaire de l’appareil) et « profil professionnel » (propriétaire du profil). Ces modes offrent différentes options d’administration, chacune avec des capacités de sécurité et de confidentialité spécifiques.
Android Enterprise offre également une excellente expérience de démarrage pour les terminaux appartenant à l’entreprise, une expérience d’installation d’applications fluide et une méthode de configuration standardisée pour les OEM. Cette expérience de démarrage guide automatiquement l’utilisateur à travers le processus d’inscription de l’appareil, et les administrateurs peuvent installer silencieusement des applications sans avoir besoin d’un compte Google personnel sur l’appareil. Le processus standardise également les méthodes de configuration et fournit aux OEM un moyen facile d’activer des API supplémentaires.
La flexibilité d’Android Enterprise via les différents modes d’administration est l’avantage le plus attractif, car elle supporte de multiples scénarios de déploiement.
Appareils personnels avec un profil professionnel
Ce scénario de déploiement permet d’accéder aux données de l’entreprise sur des terminaux personnels via le mode propriétaire du profil. Avec ce scénario de déploiement, les utilisateurs doivent installer l’application DPC de la plateforme d’administration des terminaux de l’entreprise et suivre les étapes de l’application pour inscrire leur appareil sur la plateforme. Après l’inscription, l’application DPC crée un profil professionnel distinct sur l’appareil. Ce profil crée une isolation nette entre les données et les applications personnelles et les données et les applications de l’entreprise.
Cette séparation assure la confidentialité pour l’utilisateur dans le profil personnel et le contrôle pour les administrateurs dans le profil professionnel. La séparation est également très marquée pour l’utilisateur, puisqu’elle fait apparaître un onglet distinct pour les applications personnelles et les applications d’entreprise – ces dernières sont même signalées par une petite icône en forme de mallette. Par défaut, les données de l’entreprise sont protégées dans le profil professionnel. Si nécessaire, l’administrateur peut effacer le profil professionnel de l’appareil sans supprimer les données personnelles de l’utilisateur.
Appareils appartenant à l’entreprise avec un profil professionnel
Ce scénario de déploiement assure la confidentialité de l’utilisateur sur un appareil appartenant à l’entreprise via un mode propriétaire de profil amélioré. Les utilisateurs bénéficient toujours d’une certaine confidentialité, mais les administrateurs informatiques disposent d’un contrôle important sur les terminaux.
Dans ce scénario de déploiement, l’utilisateur est invité à inscrire l’appareil sur la plateforme d’administration de l’entreprise. Une fois l’inscription effectuée, la plateforme crée un profil professionnel et un profil personnel distincts sur l’appareil appartenant à l’entreprise. La séparation des profils offre les mêmes protections de base, fonctions et éléments d’interface utilisateur qu’un appareil personnel avec un profil professionnel.
Appareils entièrement administrés
Dans ce scénario de déploiement, l’utilisateur dispose d’un appareil appartenant à l’entreprise et destiné exclusivement à un usage professionnel, en s’appuyant sur le mode propriétaire de l’appareil. Les utilisateurs disposent de capacités de personnalisation, mais l’administrateur dispose d’un contrôle total. Comme pour les deux catégories précédentes, la plateforme d’administration accompagne les utilisateurs tout au long du processus d’inscription.
Il n’y a pas de profils distincts, car l’appareil est entièrement administré. L’administrateur peut permettre à l’utilisateur d’installer certaines applications personnelles, mais l’accent n’est pas mis sur la confidentialité de l’utilisateur. La totalité des applications installées est visible pour l’administrateur. Si nécessaire, ce dernier peut effectuer un nettoyage à distance de l’ensemble de l’appareil.
Appareils dédiés
Ce scénario de déploiement fournit une expérience à usage unique sur un appareil appartenant à l’entreprise via le mode propriétaire de l’appareil. Ce mode fournit à l’utilisateur une interface ciblée et limitée qui se concentre sur un seul objectif, que les administrateurs ont prédéterminé. Avec ce scénario de déploiement, l’expérience prête à l’emploi inscrit automatiquement l’appareil dans la plateforme d’administration des terminaux.
Après l’inscription, le service informatique restreint l’appareil à un ensemble limité d’applications liées à l’objectif unique de l’appareil. Ces appareils ne sont pas associés à un utilisateur et ne sont pas destinés à être utilisés avec des applications personnelles. Si nécessaire, l’administrateur peut effacer l’ensemble du dispositif.
Intégration d’Android Enterprise avec une plateforme d’administration des terminaux
La configuration de l’intégration entre une plateforme d’administration des terminaux, telle que Microsoft Intune, et le service Managed Google Play permet aux organisations de gérer les appareils Android Enterprise. Les administrateurs peuvent configurer cette intégration avec Microsoft Intune – qui fait partie de Microsoft Endpoint Manager – en suivant moins d’une dizaine d’étapes simples.
Après avoir connecté Microsoft Intune à Managed Google Play, l’administrateur peut déployer des applications via la boutique Managed Google Play et gérer les appareils dans les différents scénarios de déploiement d’Android Enterprise.
En fonction du scénario de déploiement, l’administrateur peut avoir à passer par quelques étapes de configuration supplémentaires. Ces étapes sont généralement assez simples : changer un curseur ou suivre un assistant de configuration de base. L’objectif principal de ces actions est de créer un jeton d’inscription qui déclenchera le scénario de déploiement correct pour l’appareil.