Liste des fonctionnalités Android Enterprise

Cette page présente l'ensemble des fonctionnalités d'Android Enterprise.

Si vous avez l'intention de gérer plus de 500 appareils, votre solution EMM doit être compatible avec toutes les fonctionnalités standards (star) d'au moins un ensemble de solutions avant de pouvoir être commercialisée. Les solutions EMM qui réussissent la validation des fonctionnalités standards sont répertoriées dans le Répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion standard.

Un ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont indiquées sur chaque page de la solution: profil professionnel sur un appareil personnel, profil professionnel sur un appareil détenu par l'entreprise, appareil entièrement géré et appareil dédié. Les solutions EMM qui réussissent la vérification des fonctionnalités avancées sont répertoriées dans le répertoire des solutions d'entreprise Android en tant qu'ensemble de gestion avancée.

Clé

Fonctionnalité standard star

star fonctionnalité avancée

star_border fonctionnalité facultative

remove_circle_outline non applicable

---

1. Provisionnement de l'appareil

1.1. Provisionnement du profil professionnel en priorité par le DPC

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.1 et versions ultérieures	star	remove_circle_outline	remove_circle_outline	remove_circle_outline	star

Vous pouvez provisionner un profil professionnel après avoir téléchargé le DPC de l'EMM sur Google Play.

1.1.1. Le DPC de l'EMM doit être disponible publiquement sur Google Play afin que les utilisateurs puissent l'installer sur le côté personnel de l'appareil.

1.1.2. Une fois installé, le DPC doit guider l'utilisateur tout au long du processus de provisionnement d'un profil professionnel.

1.1.3. Une fois le provisionnement terminé, aucune présence de gestion ne peut rester sur le côté personnel de l'appareil.

• Toutes les règles mises en place lors du provisionnement doivent être supprimées.
• Les droits de l'application doivent être révoqués.
• Le DPC de l'EMM doit être, au minimum, désactivé du côté personnel de l'appareil.

1.2. Provisionnement de l'appareil avec l'identifiant DPC

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	12.0 ou version ultérieure star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent provisionner un appareil entièrement géré ou dédié à l'aide d'un identifiant DPC ("afw#"), conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l'API EMM Play.

1.2.1. L'outil de contrôle des règles relatives aux appareils de l'EMM doit être accessible au public sur Google Play. Le DPC doit pouvoir être installé à partir de l'assistant de configuration de l'appareil en saisissant un identifiant spécifique au DPC.

1.2.2. Une fois installé, le DPC de l'EMM doit guider l'utilisateur tout au long du processus de provisionnement d'un appareil entièrement géré ou dédié.

1.3. Provisionnement d'appareils NFC

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	12.0 ou version ultérieure star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent utiliser des tags NFC pour provisionner des appareils neufs ou dont la configuration d'usine a été rétablie, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l'API Play EMM.

1.3.1. Les EMM doivent utiliser des tags de type 2 du Forum NFC avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des éléments supplémentaires de provisionnement pour transmettre à un appareil des informations d'enregistrement non sensibles telles que des ID de serveur et des ID d'enregistrement. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.

1.3.2. Une fois que le DPC de l'EMM s'est défini comme propriétaire de l'appareil, il doit s'ouvrir immédiatement et se verrouiller à l'écran jusqu'à ce que l'appareil soit entièrement provisionné. 1.3.3. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et les versions ultérieures en raison de l'abandon de NFC Beam (également appelé "impact NFC").

1.4. Provisionnement d'appareils avec un code QR

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent utiliser un appareil neuf ou dont la configuration d'usine a été rétablie pour scanner un code QR généré par la console de l'EMM afin de provisionner l'appareil, conformément aux consignes d'implémentation définies dans la Documentation destinée aux développeurs de l'API Play EMM.

1.4.1. Le code QR doit utiliser des éléments supplémentaires de provisionnement pour transmettre à un appareil des informations d'enregistrement non sensibles, telles que des ID de serveur et des ID d'enregistrement. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.

1.4.2. Une fois que le DPC de l'EMM a configuré l'appareil, il doit s'ouvrir immédiatement et se verrouiller à l'écran jusqu'à ce que l'appareil soit entièrement provisionné.

1.5. Inscription sans contact

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
8.0 et versions ultérieures (Pixel: Android 7.1 et versions ultérieures)	remove_circle_outline	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs agréés et les gérer à l'aide de la console EMM.

1.5.1. Les administrateurs informatiques peuvent provisionner des appareils détenus par l'entreprise à l'aide de la méthode d'enregistrement sans contact décrite dans Enregistrement sans contact pour les administrateurs informatiques.

1.5.2. Lorsqu'un appareil est allumé pour la première fois, il est automatiquement forcé à utiliser les paramètres définis par l'administrateur informatique.

1.6. Provisionnement sans contact avancé

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
8.0 et versions ultérieures (Pixel: Android 7.1 et versions ultérieures)	remove_circle_outline	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils en déployant les informations d'enregistrement du DPC via l'enregistrement sans contact. Le DPC de l'EMM permet de limiter l'enregistrement à des comptes ou des domaines spécifiques, en fonction des options de configuration proposées par l'EMM.

1.6.1. Les administrateurs informatiques peuvent provisionner un appareil détenu par l'entreprise à l'aide de la méthode d'enregistrement sans contact décrite dans l'article Enregistrement sans contact pour les administrateurs informatiques.

1.6.2. Une fois que le DPC de l'EMM a configuré l'appareil, il doit s'ouvrir immédiatement et se verrouiller sur l'écran jusqu'à ce que l'appareil soit entièrement provisionné.

• Cette exigence est levée pour les appareils qui utilisent les informations d'enregistrement sans contact pour se provisionner entièrement en mode silencieux (par exemple, lors d'un déploiement d'appareil dédié).

1.6.3. À l'aide des détails de l'enregistrement, le DPC de l'EMM doit garantir que les utilisateurs non autorisés ne peuvent pas procéder à l'activation une fois le DPC appelé. Au minimum, l'activation doit être limitée aux utilisateurs d'une entreprise donnée.

1.6.4. À l'aide des informations d'enregistrement, le DPC de l'EMM doit permettre aux administrateurs informatiques de préremplir les informations d'enregistrement (par exemple, les ID de serveur, les ID d'enregistrement) en plus des informations uniques sur l'utilisateur ou l'appareil (par exemple, le nom d'utilisateur/mot de passe, le jeton d'activation), afin que les utilisateurs n'aient pas à saisir d'informations lorsqu'ils activent un appareil.

• Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats, dans la configuration de l'enregistrement sans contact.

1,7. Provisionnement du profil professionnel du compte Google

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline	star_border

Pour les entreprises qui utilisent un domaine Google géré, cette fonctionnalité guide les utilisateurs lors de la configuration d'un profil professionnel après avoir saisi leurs identifiants Workspace professionnels lors de la configuration de l'appareil ou sur un appareil déjà activé. Dans les deux cas, l'identité Workspace de l'entreprise sera migrée vers le profil professionnel.

1.7.1. La méthode de provisionnement du compte Google provisionne un profil professionnel, conformément aux consignes d'implémentation définies.

1.8. Provisionnement des appareils avec un compte Google

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	star_border	star_border	remove_circle_outline	remove_circle_outline

Pour les entreprises qui utilisent Workspace, cette fonctionnalité guide les utilisateurs lors de l'installation du DPC de leur EMM après qu'ils ont saisi leurs identifiants Workspace professionnels lors de la configuration initiale de l'appareil. Une fois installé, le DPC termine la configuration d'un appareil appartenant à l'entreprise.

1.8.1. La méthode de provisionnement du compte Google provisionne un appareil appartenant à l'entreprise, conformément aux consignes d'implémentation définies.

1.8.2. À moins que l'EMM ne puisse identifier sans équivoque l'identification d'un appareil en tant qu'actif d'entreprise, il ne peut pas le provisionner sans invite lors du processus de provisionnement. Cette invite doit entraîner une action non par défaut, comme cocher une case ou sélectionner une option de menu non par défaut. Il est recommandé que l'EMM puisse identifier l'appareil comme un bien d'entreprise afin qu'il n'y ait pas besoin de l'invite.

1.9. Configuration directe sans contact

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
8.0 et versions ultérieures	remove_circle_outline	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent utiliser la console de l'EMM pour configurer des appareils sans contact à l'aide de l'iFrame sans contact.

1.10. Profils professionnels sur les appareils détenus par l'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
8.0 et versions ultérieures	remove_circle_outline	star	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les EMM peuvent enregistrer les appareils détenus par l'entreprise qui disposent d'un profil professionnel.

1.10.1. Laisser le champ vide

1.10.2. Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur les appareils détenus par l'entreprise.

1.10.3. Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou sur l'ensemble de l'appareil.

1.10.4. Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel ou sur un appareil entier.

Les administrateurs informatiques peuvent définir une liste d'autorisation ou de blocage des applications pouvant ou non être installées dans le profil personnel.

1.10.6. Les administrateurs informatiques peuvent abandonner la gestion d'un appareil détenu par l'entreprise en supprimant le profil professionnel ou en effaçant l'intégralité de l'appareil.

1.11. Provisionnement d'appareils dédiés

Laisser le champ vide

---

2. Sécurité des appareils

2.1. Défi de sécurité de l'appareil

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité de l'appareil (code/motif/mot de passe) à partir d'une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.

2.1.1. La règle doit appliquer les paramètres de gestion des défis de sécurité des appareils (parentProfilePasswordRequirements pour le profil professionnel, passwordRequirements pour les appareils entièrement gérés et dédiés).

2.1.2. La complexité du mot de passe doit correspondre aux complexités suivantes:

• PASSWORD_COMPLEXITY_LOW : schéma ou code d'accès constitué d'une séquence de chiffres répétés (4444) ou ordonnés (1234, 4321, 2468).
• PASSWORD_COMPLEXITY_MEDIUM - Code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), ou mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
• PASSWORD_COMPLEXITY_HIGH : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468) et d'une longueur minimale de huit, ou mots de passe alphabétiques ou alphanumériques d'une longueur minimale de six

2.1.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres sur les appareils appartenant à l'entreprise.

2.2. Question d'authentification professionnelle

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 7.0 ou ultérieure	star	star	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité pour les applications et les données du profil professionnel, qui est distinct et présente des exigences différentes de celles du défi de sécurité de l'appareil (2.1.).

2.2.1. La règle doit appliquer le défi de sécurité pour le profil professionnel. Par défaut, les administrateurs informatiques ne doivent définir des restrictions que pour le profil professionnel. Si aucun champ d'application n'est spécifié, les administrateurs informatiques peuvent définir ce paramètre pour l'ensemble de l'appareil en spécifiant le champ d'application (voir l'exigence 2.1).

2.1.2. La complexité du mot de passe doit correspondre aux complexités suivantes:

• PASSWORD_COMPLEXITY_LOW : schéma ou code d'accès constitué d'une séquence de chiffres répétés (4444) ou ordonnés (1234, 4321, 2468).
• PASSWORD_COMPLEXITY_MEDIUM - Code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), ou mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
• PASSWORD_COMPLEXITY_HIGH - Code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), et dont la longueur est d'au moins huit caractères, ou mot de passe alphabétique ou alphanumérique d'au moins six caractères

2.2.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres.

2.3. Gestion avancée des mots de passe

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star_border	star_border

2.3.1. délibérément vides ;

2.3.2. Laisser le champ vide

2.3.3. Les paramètres de cycle de vie des mots de passe suivants peuvent être définis pour chaque écran de verrouillage disponible sur un appareil:

1. Délibérément vide
2. Vide délibérément
3. Nombre maximal de tentatives de saisie de mot de passe incorrect avant effacement des données : indique le nombre de fois où les utilisateurs peuvent saisir un mot de passe incorrect avant que les données professionnelles ne soient effacées de l'appareil. Les administrateurs informatiques doivent pouvoir désactiver cette fonctionnalité.

2.3.4. (Android 8.0 et versions ultérieures) Délai d'expiration de l'authentification forte obligatoire: un code d'authentification forte (tel qu'un code secret ou un mot de passe) doit être saisi après un délai d'expiration défini par un administrateur informatique. Passé ce délai, les méthodes d'authentification non fortes (telles que l'empreinte digitale ou le déverrouillage par reconnaissance faciale) sont désactivées jusqu'à ce que l'appareil soit déverrouillé avec un code secret d'authentification fort.

2.4. Gestion des serrures connectées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star_border	star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent gérer les agents de confiance de la fonctionnalité Smart Lock d'Android autorisés à déverrouiller les appareils. Les administrateurs informatiques peuvent désactiver des méthodes de déverrouillage spécifiques, telles que les appareils Bluetooth approuvés, la reconnaissance faciale et la reconnaissance vocale, ou désactiver complètement la fonctionnalité.

2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance Smart Lock indépendamment pour chaque écran de verrouillage disponible sur l'appareil.

2.4.2. Les administrateurs informatiques peuvent autoriser et configurer sélectivement les agents de confiance Smart Lock, indépendamment pour chaque écran de verrouillage disponible sur l'appareil, pour les agents de confiance suivants: Bluetooth, NFC, lieux, visage, sur le corps et voix.

• Les administrateurs informatiques peuvent modifier les paramètres de configuration de l'agent de confiance disponibles.

2.5. Effacer et verrouiller

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	star

Les administrateurs informatiques peuvent utiliser la console de l'EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.

2.5.1. L'application de contrôle des règles relatives aux appareils de l'EMM doit verrouiller les appareils.

2.5.2. Le DPC de l'EMM doit effacer les appareils.

2.6. Appliquer les critères de conformité

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	star

Si un appareil n'est pas conforme aux règles de sécurité, les données professionnelles sont automatiquement limitées.

2.6.1. Les règles de sécurité appliquées à un appareil doivent au minimum inclure une règle de mot de passe.

2.7. Stratégies de sécurité par défaut

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	star	star	star	star	star

Les EMM doivent appliquer les règles de sécurité spécifiées sur les appareils par défaut, sans exiger des administrateurs informatiques qu'ils aient à configurer ou à personnaliser des paramètres dans leur console EMM. Les EMM sont encouragés (mais pas obligés) à ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.

Le DPC de l'EMM doit bloquer l'installation d'applications provenant de sources inconnues, y compris les applications installées côté personnel de tout appareil Android 8.0 ou version ultérieure doté d'un profil professionnel.

2.7.2. Le DPC de l'EMM doit bloquer les fonctionnalités de débogage.

2.8. Règles de sécurité pour les appareils dédiés

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	remove_circle_outline	star	remove_circle_outline

Les appareils dédiés sont verrouillés sans échappatoire pour permettre d'effectuer d'autres actions.

Le DPC de l'EMM doit désactiver le démarrage en mode sans échec par défaut.

2.8.2. Le DPC de l'EMM doit être ouvert et verrouillé sur l'écran dès le premier démarrage lors du provisionnement, afin de garantir aucune interaction avec l'appareil.

2.8.3. Le DPC de l'EMM doit être défini comme lanceur par défaut pour s'assurer que les applications autorisées sont verrouillées à l'écran au démarrage, conformément aux consignes d'implémentation définies.

2.9. Assistance Play Integrity

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	star_border

L'EMM utilise l'API Play Integrity pour s'assurer que les appareils sont des appareils Android valides.

2.9.1. Le DPC de l'EMM implémente l'API Play Integrity lors du provisionnement et, par défaut, ne termine le provisionnement de l'appareil avec des données d'entreprise que lorsque l'intégrité de l'appareil renvoyée est MEETS_STRONG_INTEGRITY.

Le DPC de l'EMM effectue une autre vérification Play Integrity chaque fois qu'un appareil se connecte au serveur de l'EMM, ce qui peut être configuré par l'administrateur informatique. Le serveur EMM vérifie les informations de l'APK dans la réponse de vérification de l'intégrité et la réponse elle-même avant de mettre à jour la stratégie de l'entreprise sur l'appareil.

2.9.3. Les administrateurs informatiques peuvent configurer différentes réponses de stratégie en fonction du résultat de la vérification de l'intégrité Play, y compris le blocage du provisionnement, l'effacement des données professionnelles et l'autorisation de l'enregistrement.

• Le service EMM appliquera cette réponse de stratégie pour le résultat de chaque vérification de l'intégrité.

2.9.4. Si le contrôle initial de l'intégrité Play échoue ou renvoie un résultat qui ne répond pas à l'intégrité renforcée, si le DPC de l'EMM n'a pas déjà appelé ensureWorkingEnvironment, il doit le faire et répéter le contrôle avant la fin du provisionnement.

2.10. Applications vérifiées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star_border	star_border

Les administrateurs informatiques peuvent activer Vérifier les applications sur les appareils. Vérifier les applications analyse les applications installées sur les appareils Android pour détecter les logiciels dangereux avant et après leur installation. Cela permet de s'assurer que les applications malveillantes ne peuvent pas compromettre les données d'entreprise.

2.10.1. Le DPC de l'EMM doit activer Vérifier les applications par défaut.

2.11. Compatibilité avec le démarrage direct

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star	star	star	star	star_border

Les applications ne peuvent pas s'exécuter sur les appareils Android 7.0 (ou version ultérieure) qui viennent d'être allumés tant qu'ils n'ont pas été déverrouillés pour la première fois. La compatibilité avec le démarrage direct garantit que le DPC de l'EMM est toujours actif et en mesure d'appliquer la règle, même si l'appareil n'a pas été déverrouillé.

2.11.1. Le DPC de l'EMM exploite le stockage chiffré de l'appareil pour effectuer des fonctions de gestion critiques avant que le stockage chiffré des identifiants du DPC n'ait été déchiffré. Les fonctions de gestion disponibles lors du démarrage direct doivent inclure, sans s'y limiter, les éléments suivants :

• Effacer les données/Rétablir la configuration d'usine, y compris la possibilité d'effacer les données de protection de la réinitialisation d'usine le cas échéant.

2.11.2. Le DPC de l'EMM ne doit pas exposer les données d'entreprise dans l'espace de stockage chiffré de l'appareil.

2.11.3. Les EMM peuvent définir et activer un jeton pour activer un bouton Mot de passe oublié sur l'écran de verrouillage du profil professionnel. Ce bouton permet de demander aux administrateurs informatiques de réinitialiser le mot de passe du profil professionnel de manière sécurisée.

2.12. Gestion de la sécurité matérielle

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.1 ou version ultérieure	remove_circle_outline	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise pour éviter la perte de données.

Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des supports externes physiques sur leur appareil.

2.12.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil à l'aide du faisceau NFC. Cette sous-fonctionnalité est facultative, car la fonction de faisceau NFC n'est plus prise en charge dans Android 10 et versions ultérieures.

2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers via USB depuis leur appareil.

2.13. Journalisation de la sécurité d'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent collecter des données d'utilisation des appareils qui peuvent être analysées et évaluées par programmation pour détecter tout comportement malveillant ou dangereux. Les activités enregistrées incluent l'activité Android Debug Bridge (adb), l'ouverture d'applications et le déverrouillage de l'écran.

Les administrateurs informatiques peuvent activer la journalisation de sécurité pour des appareils spécifiques. Le DPC de l'EMM doit pouvoir récupérer automatiquement les journaux de sécurité et les journaux de sécurité avant le redémarrage.

2.13.2. Les administrateurs informatiques peuvent consulter les journaux de sécurité d'entreprise pour un appareil donné et une période configurable dans la console de l'EMM.

2.13.3. Les administrateurs informatiques peuvent exporter les journaux de sécurité de l'entreprise depuis la console de l'EMM.

---

3. Gestion des comptes et des applications

3.1. Liaison d'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	star

Les administrateurs informatiques peuvent associer l'EMM à leur organisation, ce qui lui permet d'utiliser Google Play d'entreprise pour distribuer des applications sur les appareils.

3.1.1. Un administrateur disposant d'un domaine Google géré existant peut lier son domaine à l'EMM.

3.1.2. La console de l'EMM doit provisionner et configurer de manière silencieuse une ESA unique pour chaque entreprise.

3.1.3. Désenregistrer une entreprise à l'aide de l'API Play EMM.

3.1.4. La console EMM invite l'administrateur à saisir son adresse e-mail professionnelle dans le parcours d'inscription Android et le dissuade d'utiliser un compte Gmail.

3.1.5. L'EMM pré-remplit l'adresse e-mail de l'administrateur lors du processus d'inscription Android.

3.2. Gestion des comptes Google Play d'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	remove_circle_outline	star

L'EMM peut provisionner en mode silencieux des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et autorisent des règles de distribution des applications uniques et par utilisateur.

3.2.1. Le DPC de l'EMM peut provisionner et activer de manière silencieuse un compte Google Play géré conformément aux consignes d'implémentation définies. En procédant ainsi:

• Un compte Google Play géré de type userAccount est ajouté à l'appareil.
• Le compte Google Play d'entreprise de type userAccount doit être mappé de façon individuelle avec les utilisateurs réels dans la console EMM.

3.3. Provisionnement des comptes des appareils Google Play d'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	remove_circle_outline	star	remove_circle_outline

L'EMM peut créer et provisionner des comptes d'appareil Google Play d'entreprise. Les comptes d'appareil permettent d'installer des applications silencieusement à partir du Google Play Store géré et ne sont pas associés à un seul utilisateur. À la place, un compte d'appareil permet d'identifier un seul appareil pour prendre en charge les règles de distribution d'applications par appareil dans les scénarios d'appareils dédiés.

3.3.1. Le DPC de l'EMM peut provisionner et activer de manière silencieuse un compte Google Play géré conformément aux consignes d'implémentation définies. Pour ce faire, un compte Google Play géré de type deviceAccount doit être ajouté à l'appareil.

3.4. Provisionnement de comptes Google Play d'entreprise pour les anciens appareils

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version antérieure	remove_circle_outline	remove_circle_outline	remove_circle_outline	remove_circle_outline	star

L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et permettent de définir des règles de distribution d'applications uniques par utilisateur.

3.4.1. Le DPC de l'EMM peut provisionner et activer de manière silencieuse un compte Google Play géré conformément aux consignes d'implémentation définies. En procédant ainsi:

1. Un compte Google Play géré de type userAccount est ajouté à l'appareil.
2. Le compte Google Play d'entreprise de type userAccount doit être mappé de manière individuelle aux utilisateurs réels dans la console de l'EMM.

3.5. Distribution d'applications silencieuses

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	star

Les administrateurs informatiques peuvent distribuer silencieusement des applications professionnelles sur les appareils des utilisateurs, sans intervention de leur part.

3.5.1. La console EMM doit utiliser l'API Play EMM pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur les appareils gérés.

3.5.2. La console des EMM doit utiliser l'API Play EMM pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.

3.5.3. La console EMM doit utiliser l'API Play EMM pour permettre aux administrateurs informatiques de désinstaller des applications sur les appareils gérés.

3.6. Gestion de la configuration gérée

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	star

Les administrateurs informatiques peuvent afficher et définir silencieusement les configurations gérées ou toute application compatible.

3.6.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés de n'importe quelle application Play.

• Les fournisseurs EMM peuvent appeler Products.getAppRestrictionsSchema pour récupérer le schéma de configuration gérée d'une application ou intégrer le frame de configuration gérée dans leur console EMM.

3.6.2. La console de l'EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (tel que défini par le framework Android) pour n'importe quelle application Play à l'aide de l'API Play EMM.

3.6.3. La console de l'EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (par exemple, $username$ ou %emailAddress%) afin qu'une seule configuration pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs. L'iframe de configuration gérée est automatiquement compatible avec cette exigence.

3.7. Gestion du catalogue d'applications

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	remove_circle_outline	remove_circle_outline	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent importer une liste des applications approuvées pour leur entreprise depuis Google Play d'entreprise (play.google.com/work).

La console de l'EMM peut afficher une liste d'applications approuvées pour la distribution, y compris:

• Applications achetées sur Google Play d'entreprise
• Applications privées visibles par les administrateurs informatiques
• Applications approuvées par programmation

3.8. Approbation des applications programmatique

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star_border	star_border

La console de l'EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge les fonctionnalités de découverte et d'approbation des applications de Google Play. Les administrateurs informatiques peuvent rechercher des applications, les approuver et approuver de nouvelles autorisations d'applications sans quitter la console EMM.

3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console de l'EMM à l'aide de l'iFrame Google Play d'entreprise.

3.9. Gestion de base de la mise en page de la fiche Play Store

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	remove_circle_outline	star

L'application Google Play Store d'entreprise peut être utilisée sur les appareils pour installer et mettre à jour des applications professionnelles. La mise en page de base de la plate-forme de téléchargement s'affiche par défaut et liste les applications approuvées pour l'entreprise, que les EMM filtrent par utilisateur en fonction des règles.

3.9.1. Les administrateurs informatiques peuvent [gérer les ensembles de produits disponibles des utilisateurs]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) pour autoriser l'affichage et l'installation d'applications à partir de la plate-forme Google Play d'entreprise dans la section "Accueil du Play Store".

3.10. Configuration avancée de la mise en page de la fiche Play

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star_border	star_border	star_border	remove_circle_outline	star_border

Les administrateurs informatiques peuvent personnaliser la mise en page de la plate-forme de téléchargement d'applications dans l'application Google Play d'entreprise sur les appareils.

Les administrateurs informatiques peuvent effectuer les actions suivantes dans la console de l'EMM pour personnaliser la mise en page du Google Play Store d'entreprise:

• Créez jusqu'à 100 pages de mise en page de magasin. Les pages peuvent avoir un nombre arbitraire de noms localisés.
• Vous pouvez créer jusqu'à 30 clusters pour chaque page. Les clusters peuvent avoir un nombre arbitraire de noms localisés.
• Attribuez jusqu'à 100 applications à chaque cluster.
• Ajoutez jusqu'à 10 liens rapides à chaque page.
• Spécifiez l'ordre de tri des applications dans un cluster et des clusters dans une page.

3.11. Gestion des licences d'application

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star_border	star_border	star_border	star_border	star_border

Les administrateurs informatiques peuvent afficher et gérer les licences d'application achetées dans Google Play d'entreprise à partir de la console de l'EMM.

3.11.1. Pour les applications payantes approuvées pour une entreprise, la console de l'EMM doit afficher:

• Nombre de licences achetées.
• Nombre de licences consommées et utilisateurs qui les consomment.
• Nombre de licences disponibles à distribuer.

3.11.2. Les administrateurs informatiques peuvent attribuer des licences aux utilisateurs de manière silencieuse sans forcer l'installation de cette application sur l'un des appareils des utilisateurs.

3.11.3. Les administrateurs informatiques peuvent désattribuer une licence d'application à un utilisateur.

3.12. Gestion des applications privées hébergées par Google

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	star_border

Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM plutôt que via la Google Play Console.

Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées en privé dans l'entreprise à l'aide des éléments suivants:

• L'iFrame Google Play d'entreprise , ou
• L'API Google Play Developer Publishing

3.13. Gestion des applications privées auto-hébergées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star_border	star_border	star_border	star_border	star_border

Les administrateurs informatiques peuvent configurer et publier des applications privées hébergées sur leurs propres serveurs. Contrairement aux applications privées hébergées par Google, Google Play n'héberge pas les APK. À la place, l'EMM aide les administrateurs informatiques à héberger eux-mêmes les APK et à protéger les applications auto-hébergées en veillant à ce qu'elles ne puissent être installées que lorsqu'elles sont autorisées par Google Play d'entreprise.

Pour en savoir plus, les administrateurs informatiques peuvent consulter Compatibilité avec les applications privées.

La console EMM doit aider les administrateurs informatiques à héberger l'APK de l'application en offrant les deux options suivantes:

• Héberger l'APK sur le serveur de l'EMM. Le serveur peut être sur site ou dans le cloud.
• Hébergement de l'APK en dehors du serveur EMM, à la discrétion de l'administrateur informatique. L'administrateur informatique doit spécifier dans la console EMM l'emplacement de l'APK.

La console de l'EMM doit générer un fichier de définition d'APK approprié à l'aide de l'APK fourni et doit guider les administrateurs informatiques tout au long du processus de publication.

3.13.3. Les administrateurs informatiques peuvent mettre à jour les applications privées auto-hébergées, et la console de l'EMM peut publier de manière silencieuse les fichiers de définition de l'APK mis à jour à l'aide de l'API Google Play Developer Publishing.

3.13.4. Le serveur de l'EMM ne répond qu'aux requêtes de téléchargement de l'APK auto-hébergé contenant un jeton JWT valide dans le cookie de la requête, comme vérifié par la clé publique de l'application privée.

• Pour faciliter ce processus, le serveur de l'EMM doit guider les administrateurs informatiques pour qu'ils téléchargent la clé publique de licence de l'application auto-hébergée à partir de la Play Console Google Play, puis importent cette clé dans la console EMM.

3.14. Notifications d'extraction EMM

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star_border	star_border	star_border	star_border	star_border

Au lieu d'interroger Play régulièrement pour identifier les événements passés tels qu'une mise à jour d'application contenant de nouvelles autorisations ou des configurations gérées, les notifications pull EMM informent de manière proactive les EMM de ces événements en temps réel, ce qui leur permet de prendre des mesures automatisées et de fournir des notifications administratives personnalisées en fonction de ces événements.

3.14.1. L'EMM doit utiliser les notifications EMM de Play pour extraire des ensembles de notifications.

L'EMM doit automatiquement informer un administrateur informatique (par exemple, par e-mail automatique) des événements de notification suivants:

• newPermissionEvent: un administrateur informatique doit approuver les nouvelles autorisations de l'application avant qu'elle ne puisse être installée ou mise à jour de manière silencieuse sur les appareils des utilisateurs.
• appRestrictionsSchemaChangeEvent: peut demander à un administrateur informatique de mettre à jour la configuration gérée d'une application pour maintenir l'efficacité prévue.
• appUpdateEvent: peut intéresser les administrateurs informatiques qui souhaitent vérifier que les performances du workflow de base ne sont pas affectées par la mise à jour de l'application.
• productAvailabilityChangeEvent: peut affecter la possibilité d'installer l'application ou de mettre à jour l'application.
• installFailureEvent: Play ne parvient pas à installer une application de manière silencieuse sur un appareil, ce qui suggère que la configuration de l'appareil empêche l'installation. Les EMM ne doivent pas immédiatement réessayer une installation silencieuse après avoir reçu cette notification, car la logique de nouvelle tentative de Play a déjà échoué.

3.14.3. L'EMM prend automatiquement les mesures appropriées en fonction des événements de notification suivants:

• newDeviceEvent: lors du provisionnement de l'appareil, les EMM doivent attendre newDeviceEvent avant d'effectuer les appels d'API Play EMM suivants pour le nouvel appareil, y compris les installations d'applications silencieuses et le paramétrage des configurations gérées.
• productApprovalEvent: à la réception d'une notification productApprovalEvent, l'EMM doit mettre à jour automatiquement la liste des applications approuvées importées dans la console EMM pour les distribuer aux appareils s'il existe une session d'administrateur informatique active ou si la liste des applications approuvées n'est pas automatiquement actualisée au début de chaque session d'administrateur informatique.

3.15. Conditions d'utilisation de l'API

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	star

L'EMM implémente les API de Google à grande échelle, ce qui évite les modèles de trafic qui pourraient nuire à la capacité des administrateurs informatiques à gérer les applications dans les environnements de production.

3.15.1. L'EMM doit respecter les limites d'utilisation de l'API Play EMM. Si vous ne corrigez pas un comportement qui ne respecte pas ces consignes, Google peut suspendre l'utilisation de l'API, à sa discrétion.

L'EMM doit distribuer le trafic de différentes entreprises tout au long de la journée, plutôt que de regrouper le trafic d'entreprise à des heures spécifiques ou similaires. Un comportement adapté à ce modèle de trafic, tel que des opérations par lot planifiées pour chaque appareil enregistré, peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.

3.15.3. L'EMM ne doit pas effectuer de requêtes cohérentes, incomplètes ou délibérément incorrectes qui ne tentent pas de récupérer ni de gérer les données réelles de l'entreprise. Un comportement correspondant à ce schéma de trafic peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.

3.16. Gestion avancée de la configuration gérée

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	star_border

3.16.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés (imbriqués jusqu'à quatre niveaux) de n'importe quelle application Play, à l'aide des éléments suivants:

• L'iFrame Google Play d'entreprise , ou
• une UI personnalisée.

3.16.2. La console EMM doit pouvoir récupérer et afficher tous les commentaires renvoyés par le canal de commentaires d'une application, une fois configurée par un administrateur informatique.

• La console de l'EMM doit permettre aux administrateurs informatiques d'associer un élément de commentaires spécifique à l'appareil et à l'application d'où il provient.
• La console EMM doit permettre aux administrateurs informatiques de s'abonner aux alertes ou aux rapports de types de messages spécifiques (tels que des messages d'erreur).

3.16.3. La console de l'EMM ne doit envoyer que des valeurs qui ont une valeur par défaut ou qui sont définies manuellement par l'administrateur à l'aide des éléments suivants:

• L'iFrame de configurations gérées, ou
• Une UI personnalisée.

3.17. Gestion des applications Web

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	star_border

Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.

Les administrateurs informatiques peuvent utiliser la console de l'EMM pour distribuer des raccourcis vers des applications Web à l'aide des éléments suivants:

• L'iFrame Google Play d'entreprise , ou
• l'API Play EMM.

3.18. Gestion du cycle de vie des comptes Google Play d'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Le fournisseur EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise au nom des administrateurs informatiques.

3.18.1. Les EMM peuvent gérer le cycle de vie d'un compte Google Play d'entreprise conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs sur l'API Play EMM.

3.18.2. Les EMM peuvent réauthentifier les comptes Google Play d'entreprise sans interaction de l'utilisateur.

3.19. Gestion des canaux d'application

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	star	star	star	star	remove_circle_outline

3.19.1. Les administrateurs informatiques peuvent extraire une liste des ID de piste définis par un développeur pour une application spécifique.

3.19.2. Les administrateurs informatiques peuvent configurer les appareils pour qu'ils utilisent un canal de développement particulier pour une application.

3.20. Gestion avancée des mises à jour des applications

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	star	star	star	star	remove_circle_outline

3.20.1. Les administrateurs informatiques peuvent autoriser les applications à utiliser des mises à jour d'applications prioritaires pour être mises à jour lorsqu'une mise à jour est prête.

3.20.2. Les administrateurs informatiques peuvent autoriser le report des mises à jour des applications pendant 90 jours.

3.21. Gestion des méthodes de provisionnement

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
remove_circle_outline	star	star	star	star	remove_circle_outline

L'EMM peut générer des configurations de provisionnement et les présenter à l'administrateur informatique sous une forme prête à être distribuée aux utilisateurs finaux (par exemple, code QR, configuration sans contact, URL du Play Store).

---

4. Gestion des appareils

4.1. Gestion des règles d'autorisation d'exécution

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent définir de manière silencieuse une réponse par défaut aux demandes d'autorisation d'exécution effectuées par les applications professionnelles.

4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une règle d'autorisation d'exécution par défaut pour leur organisation:

• invite (permet aux utilisateurs de choisir)
• allow
• deny

L'EMM doit appliquer ces paramètres à l'aide du DPC de l'EMM.

4.2. Gestion de l'état d'octroi des autorisations d'exécution

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Après avoir défini une stratégie d'autorisation d'exécution par défaut (passez à la section 4.1.), Les administrateurs informatiques peuvent définir de manière silencieuse des réponses pour des autorisations spécifiques à partir de n'importe quelle application professionnelle basée sur l'API 23 ou version ultérieure.

4.2.1. Les administrateurs informatiques doivent pouvoir définir l'état d'octroi (par défaut, octroyer ou refuser) de toute autorisation demandée par une application professionnelle basée sur l'API 23 ou version ultérieure. L'EMM doit appliquer ces paramètres à l'aide de son DPC de l'EMM.

4.3. Gestion de la configuration Wi-Fi

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent provisionner en mode silencieux des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris:

4.3.1. SSID, à l'aide de l'outil de contrôle des règles relatives aux appareils de l'EMM.

4.3.2. Mot de passe, à l'aide du DPC de l'EMM.

4.4. Gestion de la sécurité Wi-Fi

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise sur des appareils gérés qui incluent les fonctionnalités de sécurité avancées suivantes:

4.4.1. à l'aide de l'outil DPC de l'EMM.

4.4.2. Certificat d'autorisation du client, à l'aide de l'outil DPC de l'EMM.

4.4.3. Certificat(s) de l'autorité de certification, à l'aide du DPC de l'EMM.

4.5. Gestion avancée du Wi-Fi

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés afin d'empêcher les utilisateurs de créer ou de modifier des configurations d'entreprise.

4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise de deux manières:

• Les utilisateurs ne peuvent pas modifier les configurations Wi-Fi provisionnées par l'EMM, mais ils peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (par exemple, des réseaux personnels).
• Les utilisateurs ne peuvent pas ajouter ni modifier de réseau Wi-Fi sur l'appareil, limitant ainsi la connectivité Wi-Fi aux seuls réseaux provisionnés par l'EMM.

4.6. Gestion des comptes

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	star	star	star	star_border	remove_circle_outline

Les administrateurs informatiques peuvent s'assurer que les comptes d'entreprise non autorisés ne peuvent pas interagir avec les données d'entreprise, pour des services tels que les applications de stockage et de productivité SaaS, ou la messagerie. Sans cette fonctionnalité, des comptes personnels peuvent être ajoutés aux applications d'entreprise qui acceptent également les comptes personnels, ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.

4.6.1. Les administrateurs informatiques peuvent empêcher l'ajout ou la modification de comptes.

• Lorsqu'ils appliquent cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement, afin de s'assurer que vous ne pouvez pas contourner cette règle en ajoutant des comptes avant qu'elle ne soit appliquée.

4.7. Gestion des comptes Workspace

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star_border	star_border	star_border	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent s'assurer que les comptes Google non autorisés ne peuvent pas interagir avec les données de l'entreprise. Sans cette fonctionnalité, les comptes Google personnels peuvent être ajoutés aux applications Google professionnelles (par exemple, Google Docs ou Google Drive), ce qui leur permet de partager des données professionnelles avec ces comptes personnels.

Les administrateurs informatiques peuvent spécifier les comptes Google à activer lors du provisionnement, une fois le verrouillage de la gestion des comptes mis en place.

4.7.2. Le DPC de l'EMM doit inviter à activer le compte Google et s'assurer que seul le compte spécifique peut être activé en spécifiant le compte à ajouter.

• Sur les appareils antérieurs à Android 7.0, le DPC doit désactiver temporairement la restriction de gestion de compte avant d'inviter l'utilisateur.

4.8. Gestion des certificats

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification sur des appareils pour autoriser l'accès aux ressources de l'entreprise.

4.8.1. Les administrateurs informatiques peuvent installer des certificats d'identité utilisateur générés par leur PKI pour chaque utilisateur. La console de l'EMM doit s'intégrer à au moins une PKI et distribuer les certificats générés à partir de cette infrastructure.

4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification dans le keystore géré.

4.9. Gestion avancée des certificats

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Permet aux administrateurs informatiques de sélectionner de manière silencieuse les certificats que des applications gérées spécifiques doivent utiliser. Cette fonctionnalité permet également aux administrateurs informatiques de supprimer les autorités de certification et les certificats d'identité des appareils actifs. Cette fonctionnalité empêche les utilisateurs de modifier les identifiants stockés dans le keystore géré.

Pour toute application distribuée sur des appareils, les administrateurs informatiques peuvent spécifier un certificat auquel l'application sera silencieusement accordée pendant l'exécution.

• La sélection de certificats doit être suffisamment générique pour permettre une configuration unique qui s'applique à tous les utilisateurs, chacun pouvant disposer d'un certificat d'identité spécifique à l'utilisateur.

4.9.2. Les administrateurs informatiques peuvent supprimer des certificats de manière silencieuse du keystore géré.

4.9.3. Les administrateurs informatiques peuvent désinstaller un certificat CA ou tous les certificats CA hors système en mode silencieux.

4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants dans le keystore géré.

4.9.5. Les administrateurs informatiques peuvent pré-accorder des certificats pour les applications professionnelles.

4.10. Gestion déléguée des certificats

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star_border	star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent distribuer une application de gestion de certificats tiers sur des appareils et accorder à cette application un accès privilégié pour installer des certificats dans le keystore géré.

4.10.1. Les administrateurs informatiques spécifient un package de gestion des certificats à définir comme application de gestion des certificats déléguée par le DPC.

• La console peut suggérer des packages de gestion de certificats connus, mais elle doit permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à l'installation pour les utilisateurs concernés.

4.11. Gestion VPN avancée

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star	star	star	star	remove_circle_outline

Permet aux administrateurs informatiques de spécifier un VPN permanent pour s'assurer que les données des applications gérées spécifiées passent toujours par un VPN configuré.

4.11.1. Les administrateurs informatiques peuvent spécifier un package VPN arbitraire à définir comme VPN permanent.

• La console de l'EMM peut éventuellement suggérer des packages VPN connus compatibles avec le VPN permanent, mais ne peut pas limiter les VPN disponibles pour la configuration du VPN permanent à une liste arbitraire.

4.11.2. Les administrateurs informatiques peuvent utiliser des configurations gérées pour spécifier les paramètres VPN d'une application.

4.12. Gestion de l'IME

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star_border	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. Étant donné que les IME sont partagés entre les profils professionnel et personnel, le blocage de leur utilisation empêche leur utilisation personnelle. Toutefois, les administrateurs informatiques ne peuvent pas bloquer les IME système sur les profils professionnels (pour en savoir plus, consultez la section "Gestion avancée des IME").

4.12.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME de longueur arbitraire (y compris une liste vide, qui bloque les IME autres que système), qui peut contenir n'importe quel package IME arbitraire.

• La console de l'EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.

4.12.2. L'EMM doit informer les administrateurs informatiques que les IME système sont exclus de la gestion sur les appareils dotés de profils professionnels.

4.13. Gestion avancée de l'IME

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. La gestion avancée de l'IME étend la fonctionnalité de base en permettant aux administrateurs informatiques de gérer également l'utilisation des IME système, qui sont généralement fournis par le fabricant ou l'opérateur de l'appareil.

4.13.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME de longueur arbitraire (à l'exception d'une liste vide, qui bloque tous les IME, y compris les IME système), qui peut contenir n'importe quel package IME arbitraire.

• La console EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir dans la liste des applications pouvant être installées, pour les utilisateurs concernés.

Les EMM doivent empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, car ce paramètre bloque la configuration de tous les IME, y compris les IME système, sur l'appareil.

4.13.3. Les EMM doivent s'assurer que si une liste d'autorisation d'IME ne contient pas d'IME système, les IME tiers sont installés silencieusement avant que la liste d'autorisation ne soit appliquée sur l'appareil.

4.14. Gestion des services d'accessibilité

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	star_border	star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent gérer les services d'accessibilité autorisés sur les appareils des utilisateurs. Bien que les services d'accessibilité soient des outils puissants pour les utilisateurs ayant un handicap ou ceux qui ne peuvent pas interagir pleinement avec leur appareil, ils peuvent interagir avec les données d'entreprise de manière non conforme aux règles de l'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de désactiver tout service d'accessibilité non système.

4.14.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité de longueur arbitraire (y compris une liste vide, qui bloque les services d'accessibilité hors système), qui peut contenir n'importe quel package de service d'accessibilité arbitraire. Lorsqu'elle est appliquée à un profil professionnel, elle affecte à la fois le profil personnel et le profil professionnel.

• La console peut suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.

4.15. Gérer le partage de position

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star_border	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données de localisation avec les applications du profil professionnel. Sinon, le paramètre de position des profils professionnels est configurable dans les paramètres.

4.15.1. Les administrateurs informatiques peuvent désactiver les services de localisation dans le profil professionnel.

4.16. Gestion avancée du partage de position

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent appliquer un paramètre de partage de position donné sur un appareil géré. Cette fonctionnalité permet de s'assurer que les applications d'entreprise ont toujours accès à des données de localisation de haute précision. Cette fonctionnalité peut également s'assurer que la batterie n'est pas consommée en limitant les paramètres de localisation au mode Économiseur de batterie.

Les administrateurs informatiques peuvent configurer les services de localisation de l'appareil sur chacun des modes suivants:

• Haute précision.
• Capteurs uniquement, par exemple GPS, mais sans inclure la position fournie par le réseau.
• Économiseur de batterie, qui limite la fréquence des mises à jour.
• Désactivé.

4.17. Gestion de la protection après rétablissement de la configuration d'usine

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.1 ou version ultérieure	remove_circle_outline	star	star	star	remove_circle_outline

Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en s'assurant que les utilisateurs non autorisés ne peuvent pas rétablir la configuration d'usine des appareils. Si la protection après rétablissement de la configuration d'usine entraîne des complexités opérationnelles lorsque les appareils sont renvoyés à l'équipe IT, les administrateurs informatiques peuvent également la désactiver complètement.

4.17.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine de leur appareil dans les paramètres.

4.17.2. Les administrateurs informatiques peuvent spécifier les comptes de déverrouillage d'entreprise autorisés à provisionner des appareils après un rétablissement de la configuration d'usine.

• Ce compte peut être associé à une seule personne ou utilisé par l'ensemble de l'entreprise pour déverrouiller des appareils.

4.17.3. Les administrateurs informatiques peuvent désactiver la protection après rétablissement de la configuration d'usine pour les appareils spécifiés.

4.17.4. Les administrateurs informatiques peuvent lancer un effacement à distance de l'appareil qui efface les données de protection après rétablissement de la configuration d'usine, ce qui supprime la protection après rétablissement de la configuration d'usine sur l'appareil.

4.18.  Contrôle avancé des applications

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent empêcher l'utilisateur de désinstaller ou de modifier les applications gérées dans les paramètres, par exemple en forçant la fermeture de l'application ou en effaçant le cache de données d'une application.

4.18.1. Les administrateurs informatiques peuvent bloquer la désinstallation d'applications gérées arbitraires ou de toutes les applications gérées.

4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données d'application dans les paramètres.

4.19. Gestion des captures d'écran

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star_border	star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran lorsqu'ils utilisent des applications gérées. Ce paramètre inclut le blocage des applications de partage d'écran et des applications similaires (telles que l'Assistant Google) qui utilisent les fonctionnalités de capture d'écran du système.

4.19.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de effectuer des captures d'écran.

4.20. Désactiver les appareils photo

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent désactiver l'utilisation des caméras de l'appareil par les applications gérées.

4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des caméras de l'appareil par les applications gérées.

4.21. Collecte des statistiques du réseau

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	star_border	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent interroger les statistiques d'utilisation du réseau à partir du profil professionnel d'un appareil. Les statistiques collectées reflètent les données d'utilisation partagées avec les utilisateurs dans la section Consommation de données de Paramètres. Les statistiques collectées s'appliquent à l'utilisation des applications dans le profil professionnel.

4.21.1. Les administrateurs informatiques peuvent interroger le résumé des statistiques réseau d'un profil professionnel pour un appareil donné et une période configurable, et afficher ces informations dans la console de l'EMM.

4.21.2. Les administrateurs informatiques peuvent interroger un résumé d'une application dans les statistiques d'utilisation du réseau du profil professionnel, pour un appareil donné et une période configurable, et afficher ces détails organisés par UID dans la console de l'EMM.

4.21.3. Les administrateurs informatiques peuvent interroger l'historique des données d'utilisation du réseau d'un profil professionnel pour un appareil donné et une période configurable, et afficher ces informations organisées par UID dans la console de l'EMM.

4.22. Collecte des statistiques réseau avancées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent interroger les statistiques d'utilisation du réseau pour un appareil géré complet. Les statistiques collectées reflètent les données d'utilisation partagées avec les utilisateurs dans la section Utilisation des données des paramètres. Les statistiques collectées s'appliquent à l'utilisation des applications sur l'appareil.

Les administrateurs informatiques peuvent interroger le récapitulatif des statistiques du réseau pour l'ensemble d'un appareil, pour un appareil donné et une période configurable, puis afficher ces détails dans la console EMM.

4.22.2. Les administrateurs informatiques peuvent interroger un récapitulatif des statistiques d'utilisation du réseau des applications pour un appareil donné et une période configurable, et afficher ces informations organisées par UID dans la console de l'EMM.

4.22.3. Les administrateurs informatiques peuvent interroger le réseau à l'aide de données historiques, pour un appareil donné et une période configurable, et afficher ces informations organisées par UID dans la console EMM.

4.23. Redémarrer l'appareil

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star	remove_circle_outline

Les administrateurs informatiques peuvent redémarrer à distance les appareils gérés.

4.23.1. Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.

4,24. Gestion du système radio

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	star_border	star_border	star_border	remove_circle_outline

Permet aux administrateurs informatiques une gestion précise via les signaux radio du réseau système et les règles d'utilisation associées.

Les administrateurs informatiques peuvent désactiver les diffusions cellulaires envoyées par les fournisseurs de services (par exemple, les alertes AMBER).

4.24.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de réseau mobile dans "Paramètres".

4.24.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser les paramètres réseau dans les paramètres.

4.24.4. Les administrateurs informatiques peuvent autoriser ou non l'itinérance des données mobiles.

4.24.5. Les administrateurs informatiques peuvent déterminer si l'appareil peut passer des appels téléphoniques sortants, à l'exception des appels d'urgence.

4.24.6. Les administrateurs informatiques peuvent définir si l'appareil peut envoyer et recevoir des SMS.

4.24.7. Les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil comme point d'accès mobile en partage de connexion.

4.24.8. Les administrateurs informatiques peuvent définir le délai avant expiration du Wi-Fi sur la valeur par défaut, uniquement lorsqu'il est branché ou jamais.

4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier des connexions Bluetooth existantes.

4.25. Gestion audio du système

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent gérer silencieusement les fonctionnalités audio de l'appareil, y compris couper le son de l'appareil, empêcher les utilisateurs de modifier les paramètres de volume et les empêcher de réactiver le micro de l'appareil.

4.25.1. Les administrateurs informatiques peuvent couper le son des appareils gérés de manière silencieuse.

4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de volume des appareils.

4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le micro de l'appareil.

4.26. Gestion de l'horloge système

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent gérer les paramètres d'horloge et de fuseau horaire de l'appareil, et empêcher les utilisateurs de modifier les paramètres automatiques de l'appareil.

4.26.1. Les administrateurs informatiques peuvent appliquer l'heure automatique du système, ce qui empêche les utilisateurs de définir la date et l'heure de l'appareil.

4.26.2. Les administrateurs informatiques peuvent désactiver ou activer de manière silencieuse l'heure automatique et le fuseau horaire automatique.

4.27. Fonctionnalités avancées des appareils dédiés

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	remove_circle_outline	star	remove_circle_outline

Offre aux administrateurs informatiques la possibilité de gérer des fonctionnalités d'appareils dédiées plus précises afin de prendre en charge différents cas d'utilisation des kiosques.

4.27.1. Les administrateurs informatiques peuvent désactiver le clavier de verrouillage de l'appareil.

Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, ce qui bloque les notifications et les réglages rapides.

4.27.3. Les administrateurs informatiques peuvent forcer l'écran de l'appareil à rester allumé lorsque l'appareil est branché.

4.27.4. Les administrateurs informatiques peuvent empêcher l'affichage des interfaces utilisateur système suivantes:

• Notifications toast
• Superpositions d'application.

4.27.5. Les administrateurs informatiques peuvent autoriser les recommandations système à ignorer le tutoriel utilisateur et les autres conseils d'introduction au premier démarrage des applications.

4.28. Gestion déléguée des niveaux d'accès

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
8.0 et versions ultérieures	star	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.

4.28.1. Les administrateurs informatiques peuvent gérer les champs d'application suivants:

• Installation et gestion des certificats
• Délibérément vide
• Journalisation réseau
• Journalisation de sécurité (non disponible pour le profil professionnel sur un appareil personnel)

4.29. Prise en charge des pièces d'identité spécifiques à l'inscription

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
12.0 ou version ultérieure	star	star	remove_circle_outline	remove_circle_outline	remove_circle_outline

À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil doté d'un profil professionnel grâce à l'ID spécifique à l'enregistrement, qui sera conservé lors des réinitialisations.

4.29.1. Les administrateurs informatiques peuvent définir et obtenir un ID spécifique à l'enregistrement.

4.29.2. Cet ID spécifique à l'enregistrement doit persister après un rétablissement de la configuration d'usine.

---

5. Facilité d'utilisation des appareils

5.1. Personnalisation du provisionnement géré

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 7.0 ou ultérieure	star_border	star_border	star_border	star_border	star_border

Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités propres à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par l'EMM lors du provisionnement.

5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant les informations suivantes propres à l'entreprise: couleur de l'entreprise, logo de l'entreprise, conditions d'utilisation pour les entreprises et autres clauses de non-responsabilité.

5.1.2. Les administrateurs informatiques peuvent déployer une personnalisation spécifique à la plate-forme EMM non configurable qui inclut les informations suivantes: couleur EMM, logo EMM, Conditions d'utilisation EMM et autres clauses de non-responsabilité.

La version 5.1.3 [primaryColor] a été abandonnée pour la ressource d'entreprise sur Android 10 et versions ultérieures.

• Les EMM doivent inclure les conditions d'utilisation de provisionnement et d'autres clauses de non-responsabilité pour leur flux de provisionnement dans le bundle de clauses de non-responsabilité de provisionnement du système, même si la personnalisation spécifique à l'EMM n'est pas utilisée.
• Les EMM peuvent définir leur personnalisation non configurable, spécifique à l'EMM, comme paramètre par défaut pour tous les déploiements, mais doivent permettre aux administrateurs informatiques de configurer leur propre personnalisation.

5.2. Personnalisation d'entreprise

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star_border	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent personnaliser certains aspects du profil professionnel avec le branding de l'entreprise. Par exemple, les administrateurs informatiques peuvent définir l'icône utilisateur dans le profil professionnel sur le logo de l'entreprise. Un autre exemple est la configuration de la couleur d'arrière-plan du défi de travail.

5.2.1. Les administrateurs informatiques peuvent définir la couleur de l'organisation à utiliser comme couleur d'arrière-plan du défi professionnel.

5.2.2. Les administrateurs informatiques peuvent définir le nom à afficher du profil professionnel.

5.2.3. Les administrateurs informatiques peuvent définir l'icône utilisateur du profil professionnel.

5.2.4. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'icône utilisateur du profil professionnel.

5.3. Personnalisation avancée pour les entreprises

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star_border	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent personnaliser les appareils gérés avec le branding de l'entreprise. Par exemple, les administrateurs informatiques peuvent définir l'icône de l'utilisateur principal sur le logo de l'entreprise ou définir le fond d'écran de l'appareil.

5.3.1. Les administrateurs informatiques peuvent définir le nom à afficher pour l'appareil géré.

5.3.2. Les administrateurs informatiques peuvent définir l'icône utilisateur de l'appareil géré.

5.3.3. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'icône de l'utilisateur de l'appareil.

5.3.4. Les administrateurs informatiques peuvent définir le fond d'écran de l'appareil.

5.3.5. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier le fond d'écran de l'appareil.

5.4. Messages sur l'écran de verrouillage

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	star_border	star_border	star_border	remove_circle_outline

Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur l'écran de verrouillage de l'appareil et qui ne nécessite pas de déverrouiller l'appareil pour être consulté.

5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage.

5.5. Gestion de la transparence des règles

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star	star	star	star	star_border

Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils modifient les paramètres gérés sur leur appareil, ou déployer un message d'assistance générique fourni par l'EMM. Vous pouvez personnaliser les messages d'assistance courts et longs. Ces messages s'affichent, par exemple, lorsque vous tentez de désinstaller une application gérée pour laquelle un administrateur informatique a déjà bloqué la désinstallation.

5.5.1. Les administrateurs informatiques personnalisent les messages d'assistance courts et longs.

5.5.2. Les administrateurs informatiques peuvent déployer des messages d'assistance courts et longs non configurables, spécifiques à l'EMM.

• Les fournisseurs EMM peuvent définir leurs messages d'assistance spécifiques et non configurables comme valeurs par défaut pour tous les déploiements, mais ils doivent autoriser les administrateurs informatiques à configurer leurs propres messages.

5.6. Gestion des contacts interprofils

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star_border	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent contrôler les données de contact qui peuvent quitter le profil professionnel. Les applications de téléphonie et de messagerie (SMS) doivent s'exécuter dans le profil personnel et nécessitent un accès aux données de contact du profil professionnel pour offrir une efficacité aux contacts professionnels. Toutefois, les administrateurs peuvent choisir de désactiver ces fonctionnalités pour protéger les données professionnelles.

5.6.1. Les administrateurs informatiques peuvent désactiver la recherche de contacts interprofils pour les applications personnelles qui utilisent le fournisseur de contacts système.

5.6.2. Les administrateurs informatiques peuvent désactiver la recherche interprofil du numéro de l'appelant pour les applications de téléphonie personnelles qui utilisent le fournisseur de contacts système.

5.6.3. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth avec les appareils Bluetooth qui utilisent le fournisseur de contacts du système, par exemple les appels mains libres dans les voitures ou les casques.

5.7. Gestion des données interprofils

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star_border	star_border	remove_circle_outline	remove_circle_outline	remove_circle_outline

Permet aux administrateurs informatiques de gérer les données pouvant quitter le profil professionnel, en plus des fonctionnalités de sécurité par défaut du profil professionnel. Grâce à cette fonctionnalité, les administrateurs informatiques peuvent autoriser certains types de partage de données entre profils pour améliorer la facilité d'utilisation dans les cas d'utilisation clés. Les administrateurs informatiques peuvent également renforcer la protection des données de l'entreprise en appliquant davantage de verrouillages.

5.7.1. Les administrateurs informatiques peuvent configurer des filtres d'intent interprofils afin que les applications personnelles puissent résoudre l'intent à partir du profil professionnel, comme les intents de partage ou les liens Web.

• La console peut éventuellement suggérer des filtres d'intent connus ou recommandés pour la configuration, mais ne peut pas les limiter à une liste arbitraire.

5.7.2. Les administrateurs informatiques peuvent autoriser les applications gérées pouvant afficher des widgets sur l'écran d'accueil.

• La console de l'EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à l'installation pour les utilisateurs concernés.

5.7.3. Les administrateurs informatiques peuvent bloquer l'utilisation du copier-coller entre les profils professionnel et personnel.

5.7.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données du profil professionnel à l'aide du faisceau NFC.

5.7.5. Les administrateurs informatiques peuvent autoriser les applications personnelles à ouvrir des liens Web à partir du profil professionnel.

5.8. Règle de mise à jour du système

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	star	star	star	remove_circle_outline

Les administrateurs informatiques peuvent configurer et appliquer des mises à jour du système Over The Air (OTA) pour les appareils.

5.8.1. La console EMM permet aux administrateurs informatiques de définir les configurations OTA suivantes:

• Automatique: les appareils installent les mises à jour OTA lorsqu'elles sont disponibles.
• Reporter: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA jusqu'à 30 jours. Cette règle n'affecte pas les mises à jour de sécurité (par exemple, les correctifs de sécurité mensuels).
• Fenêtré: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA dans un intervalle de maintenance quotidien.

5.8.2. Le DPC de l'EMM applique les configurations OTA aux appareils.

5.9. Gestion du mode tâches verrouillées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
6.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	remove_circle_outline	star	remove_circle_outline

Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran, et s'assurer que les utilisateurs ne peuvent pas quitter l'application.

5.9.1. La console de l'EMM permet aux administrateurs informatiques d'autoriser de manière silencieuse l'installation et le verrouillage d'un ensemble d'applications arbitraires sur un appareil. Le DPC de l'EMM permet le mode appareil dédié.

5.10. Gestion persistante des activités préférées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star_border	star_border	star_border	star_border	remove_circle_outline

Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents correspondant à un certain filtre d'intent. Par exemple, permettre aux administrateurs informatiques de choisir quelle application de navigateur ouvre automatiquement les liens Web ou quelle application de lancement est utilisée lorsqu'ils appuient sur le bouton d'accueil.

5.10.1. Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour n'importe quel filtre d'intent arbitraire.

• La console de l'EMM peut éventuellement suggérer des intents connus ou recommandés pour la configuration, mais ne peut pas les limiter à une liste arbitraire.
• La console de l'EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.

5.11. Gestion des fonctionnalités du clavier de verrouillage

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	star	star	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent gérer les fonctionnalités disponibles pour les utilisateurs avant de déverrouiller le verrouillage de l'appareil (écran de verrouillage) et le verrouillage de l'authentification professionnelle (écran de verrouillage). 5.11.1. Le DPC de l'EMM peut désactiver les fonctionnalités de verrouillage de l'appareil suivantes :

• agents de confiance
• déverrouillage par empreinte digitale
• notifications non masquées

5.11.2. Le DPC de l'EMM peut désactiver les fonctionnalités de verrouillage des touches suivantes dans le profil professionnel:

• agents de confiance
• déverrouillage par empreinte digitale

5.12. Gestion avancée des fonctionnalités de verrouillage du clavier

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 5.0 ou ultérieure	remove_circle_outline	star	star	star_border	remove_circle_outline

Les administrateurs informatiques peuvent gérer les fonctionnalités avancées de protection du clavier (écran de verrouillage) des appareils détenus par l'entreprise. 5.12.1. Les administrateurs informatiques peuvent désactiver les fonctionnalités suivantes du clavier de verrouillage de l'appareil :

• Caméra sécurisée
• Toutes les notifications
• Notifications non masquées
• Agents de confiance
• Déverrouillage par empreinte digitale
• Toutes les fonctionnalités de verrouillage du clavier

5.13. Débogage à distance

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
Version 7.0 ou ultérieure	remove_circle_outline	remove_circle_outline	star	star	remove_circle_outline

Les administrateurs informatiques peuvent récupérer des ressources de débogage à partir des appareils sans avoir à effectuer d'étapes supplémentaires.

5.13.1. Les administrateurs informatiques peuvent demander à distance des rapports de bugs, les consulter depuis la console de l'EMM et les télécharger depuis la console de l'EMM.

5.14. Récupération de l'adresse MAC

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
7.0 ou version ultérieure	remove_circle_outline	star_border	star_border	star_border	remove_circle_outline

Les EMM peuvent récupérer en mode silencieux l'adresse MAC d'un appareil. L'adresse MAC peut être utilisée pour identifier des appareils dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification des appareils pour le contrôle d'accès au réseau).

5.14.1. Le fournisseur EMM peut récupérer en mode silencieux l'adresse MAC d'un appareil et l'associer à l'appareil dans sa console.

5.15. Gestion avancée du mode tâches verrouillées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
9.0 et versions ultérieures	remove_circle_outline	remove_circle_outline	remove_circle_outline	star	remove_circle_outline

Lorsque vous configurez un appareil en tant qu'appareil dédié, les administrateurs informatiques peuvent utiliser la console de l'EMM pour effectuer les tâches suivantes:

5.15.1. Autorisez une seule application à verrouiller un appareil de manière silencieuse à l'aide du DPC de l'EMM.

5.15.2. Activez ou désactivez les fonctionnalités d'UI système suivantes à l'aide du DPC de l'EMM :

• Bouton "Accueil"
• Présentation
• Actions générales
• Notifications
• Informations système / Barre d'état
• Protection des touches (écran de verrouillage)

5.15.3. Désactivez les boîtes de dialogue d'erreur système à l'aide de l'outil DPC de l'EMM.

5.16. Règle de mise à jour du système avancée

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
9.0 et versions ultérieures	remove_circle_outline	remove_circle_outline	remove_circle_outline	star	remove_circle_outline

Les administrateurs informatiques peuvent bloquer les mises à jour système sur un appareil pendant une période de blocage spécifiée.

5.16.1. Le DPC de l'EMM peut appliquer des mises à jour système OTA (Over-The-Air) aux appareils pendant une période de blocage spécifiée.

5.17. Gestion de la transparence des règles du profil professionnel

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
9.0 et versions ultérieures	star	star	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent personnaliser le message affiché aux utilisateurs lorsqu'ils suppriment le profil professionnel d'un appareil.

5.17.1. Les administrateurs informatiques peuvent fournir un texte personnalisé à afficher lorsqu'un profil professionnel est effacé.

5.18. Assistance pour les applications connectées

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
11.0 et versions ultérieures	star	star	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent définir une liste de packages pouvant communiquer au-delà de la limite du profil professionnel.

5.19. Mises à jour système manuelles

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
11.0 et versions ultérieures	remove_circle_outline	remove_circle_outline	remove_circle_outline	remove_circle_outline	remove_circle_outline

Les administrateurs informatiques peuvent installer manuellement une mise à jour du système en fournissant un chemin d'accès.

6. Abandon de Device Administration

6.1. Abandon de Device Administration

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	remove_circle_outline	remove_circle_outline	star	star	star

Les EMM doivent publier un plan d'arrêt de la prise en charge client pour Device Admin sur les appareils GMS d'ici la fin du premier trimestre 2023. La date limite est fixée à la fin de l'année 2022.

7. Utilisation de l'API

7.1. Policy Controller standard pour les nouvelles liaisons

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star	star	star_border	star_border	remove_circle_outline

Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour toute nouvelle liaison. Les EMM peuvent fournir la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'en-tête "Avancé" ou une terminologie similaire. Les nouveaux clients ne doivent pas être exposés à un choix arbitraire entre des piles technologiques lors de tout processus d'intégration ou de configuration.

7.2. Outil de contrôle des règles standard pour les nouveaux appareils

Version d'Android	Profil professionnel sur un appareil personnel	Profil professionnel sur un appareil détenu par l'entreprise	Appareil entièrement géré	Appareil dédié	MAM
5.0 ou version ultérieure	star_border	star_border	star_border	star_border	remove_circle_outline

Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour tous les nouveaux enregistrements d'appareils, pour les liaisons existantes et les nouvelles. Les EMM peuvent fournir la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres, sous l'en-tête "Avancé" ou une terminologie similaire.