conejota - Fotolia
Conseils pour mieux gérer votre flotte mobile avec Android Enterprise
Le programme Android Enterprise de Google donne accès à des contrôles fins accessibles dans les solutions de gestion de la mobilité d’entreprise. De quoi aider à sécuriser les terminaux.
Les administrateurs de terminaux mobiles peuvent intégrer la prise en charge d’Android dans leurs outils de gestion de la mobilité d’entreprise (EMM) grâce aux API Android Enterprise. Celles-ci offrent une vaste étendue de fonctions d’administration, dont beaucoup améliorent la sécurité de l’utilisateur final comme son expérience. Cela va de la sécurisation des données à la configuration des navigateurs et applications embarqués, mais certaines de ces fonctions d’administration ne fonctionnent que sous certaines conditions.
Les API Android Enterprise permettent en outre de retarder l’application de mises à jour et de déployer des applications privées via une solution d’EMM.
Gérer les mises à jour avec Android Enterprise
La gestion des mises à jour d’Android a pu constituer une épreuve, mais il est désormais possible de contrôler complètement le moment et la manière de les déployer.
Si une mise à niveau majeure du système d’exploitation est imminente, mais qu’un délai supplémentaire est nécessaire pour tester les applications internes, le déploiement des mises à jour peut être retardé jusqu’à 30 jours pour les appareils fonctionnant sous Android 8.0 et moins, voire jusqu’à 90 jours pour les appareils fonctionnant sous Android 9.0 et plus. Mais attention : Google impose une période de 60 jours sans report à la suite d’un premier report de 60 jours. Le groupe veut ainsi s’assurer que les DSI ne reportent pas indéfiniment les mises à jour.
Au-delà de ces exceptions, il est possible de déterminer si les mises à jour doivent être envoyées aux terminaux ou pas dès qu’elles sont disponibles. Sur les terminaux utilisant deux partitions, les mises à jour peuvent être poussées immédiatement sans risque de disponibilité : les modifications n’apparaîtront qu’après redémarrage du terminal.
L’application des mises à jour suivant un calendrier défini, peut en revanche s’avérer plus pertinente pour les terminaux utilisant une partition unique et redémarrant immédiatement après une mise à jour. Là, il est possible de choisir un moment où les utilisateurs n’ont pas besoin de leur terminal, tard dans la nuit ou tôt le matin, par exemple.
Des options similaires sont disponibles pour les mises à jour des applications. Mais là, il est possible de définir si les mises à jour peuvent se faire sur une connexion mobile ou exclusivement via un réseau Wi-Fi.
Idéalement, il est probablement préférable de laisser les applications se mettre à jour dès que possible, en raison des bugs et vulnérabilités que les versions anciennes sont susceptibles de contenir. Mais des mises à jour fréquentes en passant par un réseau mobile peuvent induire des surcoûts. L’exigence d’une connexion à un réseau Wi-Fi permet de les éviter.
Fonctions avancées de prévention des fuites de données
Contrairement aux appareils entièrement administrés, les terminaux Android dotés d’un profil de travail stockent les données de l’entreprise dans une zone isolée et chiffrée de leurs ressources de stockage ; les applications personnelles s’exécutant dans un profil distinct.
Les mécanismes de prévention des fuites de données permettent de définir les échanges autorisés entre les deux profils. Il est ainsi possible d’empêcher les copier-coller entre les profils professionnel et personnel, d’interdire les notifications sur l’écran verrouillé, de bloquer les captures d’écran pour les applications du profil professionnel, ou encore de prévenir l’accès aux documents professionnels à partir d’applications personnelles.
Les possibilités vont au-delà, mais ces restrictions spécifiques visent à empêcher les utilisateurs de partager les données de leur profil professionnel. Les notifications expurgées garantissent que les utilisateurs ne peuvent voir les notifications liées à ce profil qu’une fois l’appareil déverrouillé ; de quoi réduire les risques de compromission accidentelle de données sensibles.
D’autres capacités d’administration
L’administration du navigateur Google Chrome est l’un des exemples les plus impressionnants des possibilités offertes par Android Enterprise. Les administrateurs peuvent là définir manuellement des listes blanches et des listes noires de sites Web, mais également imposer le passage par un serveur mandataire.
Android Enterprise permet également d’administrer les applications internes et Web dans un iframe au sein de Google Play, via une console dédiée. Celle-ci nécessite un outil d’EMM compatible.
De fait, il est désormais possible, via ces fonctionnalités, de créer et déployer des applications Web présentées aux utilisateurs comme s’il s’agissait d’applications natives. Et justement, les entreprises peuvent également téléverser sur le magasin applicatif de Google leurs applications internes, natives. Ainsi, le déploiement de ces dernières ne prend que quelques minutes – elles ne sont accessibles qu’aux membres de l’organisation concernée.