Fonctionnalités détaillées relatives au Device Security Level
Cette page présente un aperçu détaillé des Device Security Levels pour l'ensemble des systèmes d'exploitation pris en charge. Elle complète la présentation générale des Device Security Levels disponible sur la page beem Device Management afin d'offrir aux administrateurs une vision plus détaillée des politiques.
Les fonctionnalités sont regroupées par catégorie pour faciliter la consultation et ne peuvent pas être configurées individuellement ; les règles sont appliquées exclusivement via le Device Security Level sélectionné pour l'appareil. Sauf indication contraire, la valeur True indique que la règle est appliquée par le Device Security Level correspondant de l'appareil, tandis que False indique qu'elle ne l'est pas.
INFO
Le fait de définir le Device Security Level sur « 0 » invalide toutes les politiques de gestion des appareils beem. Cela permet de désactiver temporairement ces politiques à des fins de test ou de dépannage, sans pour autant supprimer la configuration existante de beem Device Management.
Android One UI
Code d'accès et contrôles d'accès aux appareils
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Complexité du code d'accès | Cela détermine le type de caractères requis. « Numérique » signifie que seuls les chiffres sont autorisés (comme un code PIN bancaire). « Alphanumérique » oblige l'utilisateur à utiliser une combinaison de lettres et de chiffres (un véritable mot de passe). | Numérique | Numérique | Alphanumérique | Alphanumérique |
| Longueur minimale | Le nombre minimum de caractères ou de chiffres que l'utilisateur doit saisir lors de la création de son code d'accès « Profil professionnel ». | 6 chiffres | 6 chiffres | 6 symboles | 8 symboles |
| Nombre maximal de tentatives infructueuses (réinitialisation) | La séquence d’« autodestruction ». Si un utilisateur saisit un code d’accès erroné autant de fois d’affilée, beem Device Management efface automatiquement le profil professionnel et toutes les données d’entreprise qu’il contient. | 10 | 8 | 6 | 4 |
| Délai d'inactivité | Le délai d'extinction de l'écran. Si le téléphone reste inactif pendant ce nombre de minutes, le profil professionnel se verrouille automatiquement et nécessite un code d'accès ou une authentification biométrique pour y accéder à nouveau. | 5 minutes | 3 minutes | 2 minutes | 1 minute |
| Historique des codes d'accès | Empêche les utilisateurs de réutiliser leurs anciens mots de passe. Une valeur de « 5 » signifie qu'ils doivent créer 5 mots de passe entièrement nouveaux avant de pouvoir réutiliser leur mot de passe préféré. | 3 | 4 | 5 | 6 |
| Expiration du code d'accès | Oblige l'utilisateur à modifier son code d'accès au bout de 90 jours. | True | True | True | True |
| Délai d'expiration de l'authentification forte | Un minuteur de sécurité en profondeur. Même si un utilisateur utilise son empreinte digitale toute la journée, ce minuteur l'oblige à saisir manuellement son code d'accès principal toutes les X heures (par exemple, toutes les 24 heures) afin de prouver qu'il est bien le propriétaire de l'appareil et qu'il ne s'est pas contenté de contourner le capteur biométrique. | Pas de minuterie | 24 heures | 8 heures | 4 heures |
| Séparation des codes d'accès | Par défaut, Android permet aux utilisateurs d'utiliser un seul code d'accès pour déverrouiller à la fois leur téléphone personnel et leur profil professionnel. En définissant ce paramètre sur « True », ce lien est rompu, ce qui oblige l'utilisateur à utiliser un code d'accès distinct et dédié, réservé exclusivement au profil professionnel. | False | False | True | True |
Verrouillage du clavier et données biométriques
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Déverrouillage par empreinte digitale | L'utilisateur peut déverrouiller son profil professionnel à l'aide de ces capteurs biométriques spécifiques, sans avoir à saisir son code d'accès. | True | True | True | False |
| Déverrouillage par reconnaissance faciale | L'utilisateur peut déverrouiller son profil professionnel à l'aide de ces capteurs biométriques spécifiques, sans avoir à saisir son code d'accès. | True | True | False | False |
| Scan de l'iris | L'utilisateur peut déverrouiller son profil professionnel à l'aide de ces capteurs biométriques spécifiques, sans avoir à saisir son code d'accès. | True | True | False | False |
| Agents de confiance (Smart Lock) | Le téléphone reste déverrouillé (Smart Lock) s'il détecte qu'il se trouve dans un « lieu de confiance » (comme le domicile de l'utilisateur) ou s'il est connecté à un « appareil Bluetooth de confiance » (comme sa voiture). | True | False | False | False |
Protection des données et restrictions
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Copier/coller entre profils | L'utilisateur ne peut pas copier du texte à partir d'un e-mail professionnel dans Outlook pour le coller dans son compte WhatsApp personnel ou dans le Bloc-notes. | False | True | True | True |
| Partager le profil « Share into Work » | Empêche les applications personnelles d'envoyer des données vers le conteneur professionnel. | False | True | True | True |
| Modifier les comptes | Empêche l'utilisateur d'ajouter ou de supprimer manuellement des comptes de messagerie d'entreprise ou des identités au sein du profil professionnel ; seul l'administrateur peut gérer ces comptes. | False | True | True | True |
| Captures d'écran | Empêche l'utilisateur de réaliser des captures d'écran ou d'enregistrer l'écran lorsqu'une application du profil professionnel est ouverte. | False | False | True | True |
| Services de remplissage automatique | Empêche les gestionnaires de mots de passe tiers ou les services de remplissage automatique des navigateurs d'injecter des identifiants dans les applications professionnelles. | False | False | True | True |
| Impression | Désactive le spouleur d'impression natif d'Android pour les applications professionnelles, empêchant ainsi les utilisateurs d'imprimer des documents sensibles sur des imprimantes Wi-Fi non gérées. | False | False | True | True |
| Faisceau sortant (NFC) | Invalide le partage de données d'entreprise via la technologie NFC physique (en rapprochant deux téléphones l'un de l'autre). | False | False | True | True |
Confidentialité et sécurité du système
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Partager un emplacement (applications professionnelles) | Tout accès au GPS et à la localisation via le réseau pour les applications du profil professionnel est désactivé, ce qui signifie que les applications d'entreprise ne peuvent pas suivre les déplacements physiques de l'utilisateur. | False | False | True | True |
| Recherche de contacts | Empêche la fonction de numérotation personnelle du téléphone d'interroger le carnet d'adresses de l'entreprise pour identifier les appelants. | False | False | True | True |
| Partage de contacts via Bluetooth | Empêche la synchronisation des contacts du profil « Travail » avec le tableau de bord d'une voiture connectée via Bluetooth. | False | False | False | True |
| Assistance IA | Empêche Google Assistant (ou tout autre assistant vocal basé sur l'IA) de lire les données contenues dans le profil professionnel ou d'interagir avec celles-ci. | False | False | False | True |
| Configurer les identifiants | Empêche l'utilisateur d'installer manuellement des certificats de sécurité personnalisés dans le magasin de clés du profil professionnel, ce qui contribue à prévenir les attaques de type « homme au milieu » (MitM). | False | False | False | True |
| Partager le Wi-Fi configuré par l'administrateur | Si beem Device Management transmet un mot de passe Wi-Fi d'entreprise à l'appareil, cela empêche l'utilisateur d'utiliser la fonctionnalité native d'Android « Partager via un code QR » pour communiquer ce mot de passe Wi-Fi à quelqu'un d'autre. | False | False | False | True |
| Politique relative aux sources inconnues | Empêche l'utilisateur de télécharger et d'installer des fichiers .apk bruts depuis Internet directement dans le profil professionnel, l'obligeant ainsi à utiliser exclusivement le Google Play Store approuvé. | False | False | False | True |
| Notifications de l'application Work (interface utilisateur) | L'option « All » désactive complètement les notifications. L'option « System Only » autorise les alertes système critiques, mais empêche les notifications standard des applications d'apparaître dans le volet de notifications personnel. | All | All | All | System Only |
iOS
Code d'accès et contrôles d'accès
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Complexité du code d'accès | Impose l'utilisation de lettres et de chiffres afin d'augmenter de manière exponentielle la complexité de la saisie. | False | True | True | True |
| Longueur minimale | Impose un nombre minimum de caractères (6) afin d'élargir l'espace de clés physique et de contrer les attaques par force brute. | True | True | True | True |
| Délai d'inactivité | Verrouille automatiquement l'écran (au bout de 2 minutes) afin de protéger les données sur les appareils laissés sans surveillance. | True | True | True | True |
| Délai de grâce | Supprime le délai de déverrouillage afin d'empêcher tout accès non authentifié lors des réveils instantanés. | True | True | True | True |
| Nombre maximal de tentatives infructueuses | Déclenche un effacement cryptographique matériel après (10) tentatives infructueuses consécutives. | False | True | True | True |
| Historique des codes d'accès | Interdit la réutilisation des (10) derniers codes afin d'imposer une rotation périodique des identifiants. | False | True | True | True |
| Expiration du code d'accès | Définit une durée de vie maximale (90 jours) pour le code afin de limiter l'exposition des codes PIN divulgués. | False | True | True | True |
| Nombre minimal de caractères complexes | Définit le nombre minimum (1) de caractères spéciaux ou de chiffres requis. | False | True | True | True |
Confidentialité et restrictions
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Détection du poignet | Verrouille instantanément une Apple Watch appairée dès qu’elle est retirée du poignet afin d’empêcher tout accès non autorisé. | False | True | True | True |
| Destination AirDrop | Force toutes les instances AirDrop autorisées à être considérées comme une voie non gérée. | False | False | True | True |
| Remplissage automatique - Réauthentification | Force la vérification Face ID/Touch ID avant chaque opération de connexion, à titre de confirmation rigoureuse de la présence de l'utilisateur. | False | False | False | True |
| Sauvegardes chiffrées | Exige que toutes les sauvegardes locales effectuées via iTunes ou le Finder soient cryptées afin d'empêcher toute extraction à des fins d'analyse judiciaire. | False | False | False | True |
Navigateur Safari
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Cookies Safari | Gère les règles d'acceptation des cookies (limite le suivi aux sites visités uniquement). | True | True | True | True |
| Avertissement concernant la fraude | Applique automatiquement les avertissements de vérification anti-hameçonnage dans les flux de travail du navigateur Safari pour mobile. | False | True | True | True |
macOS
Code d'accès et authentification
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Longueur minimale | Impose un nombre minimum de caractères (6) afin d'élargir l'espace de clés physique. | True | True | True | True |
| Délai d'inactivité | Active automatiquement le verrouillage des appareils mobiles en cas d'inactivité (2 minutes) si le code d'accès n'est pas saisi. | True | True | True | True |
| Délai de grâce | Supprime le délai de déverrouillage afin d'empêcher tout accès non authentifié au réveil. | True | True | True | True |
| Nombre maximal de tentatives infructueuses | Déclenche un effacement matériel après un certain nombre de tentatives infructueuses (10) afin d'empêcher les attaques par force brute. | False | True | True | True |
| Expiration du code d'accès | Définit une durée de vie maximale (90 jours) pour le code afin de limiter l'exposition des codes PIN divulgués. | False | True | True | True |
| Historique des codes d'accès | Empêche la réutilisation des codes précédents (10) afin d'imposer une rotation périodique des identifiants. | False | True | True | True |
| Nombre minimal de caractères complexes | Définit le nombre minimum (1) de caractères spéciaux ou de chiffres requis. | False | True | True | True |
Sécurité du système et pare-feu
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Pare-feu applicatif | Active globalement le pare-feu interne basé sur les sockets du logiciel hôte. | True | True | True | True |
| Désactivation de FileVault | Supprime explicitement les droits d'administration locaux permettant de désactiver le chiffrement du disque. | False | True | True | True |
| Gardien | Assure la vérification de la signature des applications via l'inspection native de Gatekeeper. | False | False | True | True |
| Compte invité | Désactive les profils utilisateur standard du bac à sable ambiant afin de supprimer l'accès anonyme. | False | False | True | True |
| Mode furtif du pare-feu | Configure le pare-feu pour rejeter les requêtes ICMP non vérifiées et ignorer les analyses de réseau. | False | False | False | True |
| Bonjour Multicast | Désactive l'indexation et la diffusion des services du réseau local via mDNS. | False | False | False | True |
| Sauvegardes des supports | Intercepte les connexions des applications locales afin d'empêcher les sauvegardes iTunes des utilisateurs. | False | False | False | True |
Navigateur Safari
| Fonctionnalité | Description | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Cookies Safari | Gère les règles d'acceptation des cookies (limite le suivi aux sites visités uniquement). | True | True | True | True |
| Avertissement concernant la fraude | Active les vérifications de correspondance par rapport aux terminaux de hameçonnage répertoriés avant le chargement. | False | True | True | True |
| Afficher l'URL complète | Affiche l'URL complète afin d'empêcher toute dissimulation ou usurpation de domaine. | False | True | True | True |
