Skip to content

Fonctionnalités détaillées relatives au Device Security Level

Cette page présente un aperçu détaillé des Device Security Levels pour l'ensemble des systèmes d'exploitation pris en charge. Elle complète la présentation générale des Device Security Levels disponible sur la page beem Device Management afin d'offrir aux administrateurs une vision plus détaillée des politiques.

Les fonctionnalités sont regroupées par catégorie pour faciliter la consultation et ne peuvent pas être configurées individuellement ; les règles sont appliquées exclusivement via le Device Security Level sélectionné pour l'appareil. Sauf indication contraire, la valeur True indique que la règle est appliquée par le Device Security Level correspondant de l'appareil, tandis que False indique qu'elle ne l'est pas.


INFO

Le fait de définir le Device Security Level sur « 0 » invalide toutes les politiques de gestion des appareils beem. Cela permet de désactiver temporairement ces politiques à des fins de test ou de dépannage, sans pour autant supprimer la configuration existante de beem Device Management.

Android One UI

Code d'accès et contrôles d'accès aux appareils

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Complexité du code d'accèsCela détermine le type de caractères requis. « Numérique » signifie que seuls les chiffres sont autorisés (comme un code PIN bancaire). « Alphanumérique » oblige l'utilisateur à utiliser une combinaison de lettres et de chiffres (un véritable mot de passe).NumériqueNumériqueAlphanumériqueAlphanumérique
Longueur minimaleLe nombre minimum de caractères ou de chiffres que l'utilisateur doit saisir lors de la création de son code d'accès « Profil professionnel ».6 chiffres6 chiffres6 symboles8 symboles
Nombre maximal de tentatives infructueuses (réinitialisation)La séquence d’« autodestruction ». Si un utilisateur saisit un code d’accès erroné autant de fois d’affilée, beem Device Management efface automatiquement le profil professionnel et toutes les données d’entreprise qu’il contient.10864
Délai d'inactivitéLe délai d'extinction de l'écran. Si le téléphone reste inactif pendant ce nombre de minutes, le profil professionnel se verrouille automatiquement et nécessite un code d'accès ou une authentification biométrique pour y accéder à nouveau.5 minutes3 minutes2 minutes1 minute
Historique des codes d'accèsEmpêche les utilisateurs de réutiliser leurs anciens mots de passe. Une valeur de « 5 » signifie qu'ils doivent créer 5 mots de passe entièrement nouveaux avant de pouvoir réutiliser leur mot de passe préféré.3456
Expiration du code d'accèsOblige l'utilisateur à modifier son code d'accès au bout de 90 jours.TrueTrueTrueTrue
Délai d'expiration de l'authentification forteUn minuteur de sécurité en profondeur. Même si un utilisateur utilise son empreinte digitale toute la journée, ce minuteur l'oblige à saisir manuellement son code d'accès principal toutes les X heures (par exemple, toutes les 24 heures) afin de prouver qu'il est bien le propriétaire de l'appareil et qu'il ne s'est pas contenté de contourner le capteur biométrique.Pas de minuterie24 heures8 heures4 heures
Séparation des codes d'accèsPar défaut, Android permet aux utilisateurs d'utiliser un seul code d'accès pour déverrouiller à la fois leur téléphone personnel et leur profil professionnel. En définissant ce paramètre sur « True », ce lien est rompu, ce qui oblige l'utilisateur à utiliser un code d'accès distinct et dédié, réservé exclusivement au profil professionnel.FalseFalseTrueTrue

Verrouillage du clavier et données biométriques

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Déverrouillage par empreinte digitaleL'utilisateur peut déverrouiller son profil professionnel à l'aide de ces capteurs biométriques spécifiques, sans avoir à saisir son code d'accès.TrueTrueTrueFalse
Déverrouillage par reconnaissance facialeL'utilisateur peut déverrouiller son profil professionnel à l'aide de ces capteurs biométriques spécifiques, sans avoir à saisir son code d'accès.TrueTrueFalseFalse
Scan de l'irisL'utilisateur peut déverrouiller son profil professionnel à l'aide de ces capteurs biométriques spécifiques, sans avoir à saisir son code d'accès.TrueTrueFalseFalse
Agents de confiance (Smart Lock)Le téléphone reste déverrouillé (Smart Lock) s'il détecte qu'il se trouve dans un « lieu de confiance » (comme le domicile de l'utilisateur) ou s'il est connecté à un « appareil Bluetooth de confiance » (comme sa voiture).TrueFalseFalseFalse

Protection des données et restrictions

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Copier/coller entre profilsL'utilisateur ne peut pas copier du texte à partir d'un e-mail professionnel dans Outlook pour le coller dans son compte WhatsApp personnel ou dans le Bloc-notes.FalseTrueTrueTrue
Partager le profil « Share into Work »Empêche les applications personnelles d'envoyer des données vers le conteneur professionnel.FalseTrueTrueTrue
Modifier les comptesEmpêche l'utilisateur d'ajouter ou de supprimer manuellement des comptes de messagerie d'entreprise ou des identités au sein du profil professionnel ; seul l'administrateur peut gérer ces comptes.FalseTrueTrueTrue
Captures d'écranEmpêche l'utilisateur de réaliser des captures d'écran ou d'enregistrer l'écran lorsqu'une application du profil professionnel est ouverte.FalseFalseTrueTrue
Services de remplissage automatiqueEmpêche les gestionnaires de mots de passe tiers ou les services de remplissage automatique des navigateurs d'injecter des identifiants dans les applications professionnelles.FalseFalseTrueTrue
ImpressionDésactive le spouleur d'impression natif d'Android pour les applications professionnelles, empêchant ainsi les utilisateurs d'imprimer des documents sensibles sur des imprimantes Wi-Fi non gérées.FalseFalseTrueTrue
Faisceau sortant (NFC)Invalide le partage de données d'entreprise via la technologie NFC physique (en rapprochant deux téléphones l'un de l'autre).FalseFalseTrueTrue

Confidentialité et sécurité du système

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Partager un emplacement (applications professionnelles)Tout accès au GPS et à la localisation via le réseau pour les applications du profil professionnel est désactivé, ce qui signifie que les applications d'entreprise ne peuvent pas suivre les déplacements physiques de l'utilisateur.FalseFalseTrueTrue
Recherche de contactsEmpêche la fonction de numérotation personnelle du téléphone d'interroger le carnet d'adresses de l'entreprise pour identifier les appelants.FalseFalseTrueTrue
Partage de contacts via BluetoothEmpêche la synchronisation des contacts du profil « Travail » avec le tableau de bord d'une voiture connectée via Bluetooth.FalseFalseFalseTrue
Assistance IAEmpêche Google Assistant (ou tout autre assistant vocal basé sur l'IA) de lire les données contenues dans le profil professionnel ou d'interagir avec celles-ci.FalseFalseFalseTrue
Configurer les identifiantsEmpêche l'utilisateur d'installer manuellement des certificats de sécurité personnalisés dans le magasin de clés du profil professionnel, ce qui contribue à prévenir les attaques de type « homme au milieu » (MitM).FalseFalseFalseTrue
Partager le Wi-Fi configuré par l'administrateurSi beem Device Management transmet un mot de passe Wi-Fi d'entreprise à l'appareil, cela empêche l'utilisateur d'utiliser la fonctionnalité native d'Android « Partager via un code QR » pour communiquer ce mot de passe Wi-Fi à quelqu'un d'autre.FalseFalseFalseTrue
Politique relative aux sources inconnuesEmpêche l'utilisateur de télécharger et d'installer des fichiers .apk bruts depuis Internet directement dans le profil professionnel, l'obligeant ainsi à utiliser exclusivement le Google Play Store approuvé.FalseFalseFalseTrue
Notifications de l'application Work (interface utilisateur)L'option « All » désactive complètement les notifications. L'option « System Only » autorise les alertes système critiques, mais empêche les notifications standard des applications d'apparaître dans le volet de notifications personnel.AllAllAllSystem Only

iOS

Code d'accès et contrôles d'accès

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Complexité du code d'accèsImpose l'utilisation de lettres et de chiffres afin d'augmenter de manière exponentielle la complexité de la saisie.FalseTrueTrueTrue
Longueur minimaleImpose un nombre minimum de caractères (6) afin d'élargir l'espace de clés physique et de contrer les attaques par force brute.TrueTrueTrueTrue
Délai d'inactivitéVerrouille automatiquement l'écran (au bout de 2 minutes) afin de protéger les données sur les appareils laissés sans surveillance.TrueTrueTrueTrue
Délai de grâceSupprime le délai de déverrouillage afin d'empêcher tout accès non authentifié lors des réveils instantanés.TrueTrueTrueTrue
Nombre maximal de tentatives infructueusesDéclenche un effacement cryptographique matériel après (10) tentatives infructueuses consécutives.FalseTrueTrueTrue
Historique des codes d'accèsInterdit la réutilisation des (10) derniers codes afin d'imposer une rotation périodique des identifiants.FalseTrueTrueTrue
Expiration du code d'accèsDéfinit une durée de vie maximale (90 jours) pour le code afin de limiter l'exposition des codes PIN divulgués.FalseTrueTrueTrue
Nombre minimal de caractères complexesDéfinit le nombre minimum (1) de caractères spéciaux ou de chiffres requis.FalseTrueTrueTrue

Confidentialité et restrictions

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Détection du poignetVerrouille instantanément une Apple Watch appairée dès qu’elle est retirée du poignet afin d’empêcher tout accès non autorisé.FalseTrueTrueTrue
Destination AirDropForce toutes les instances AirDrop autorisées à être considérées comme une voie non gérée.FalseFalseTrueTrue
Remplissage automatique - RéauthentificationForce la vérification Face ID/Touch ID avant chaque opération de connexion, à titre de confirmation rigoureuse de la présence de l'utilisateur.FalseFalseFalseTrue
Sauvegardes chiffréesExige que toutes les sauvegardes locales effectuées via iTunes ou le Finder soient cryptées afin d'empêcher toute extraction à des fins d'analyse judiciaire.FalseFalseFalseTrue
FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Cookies SafariGère les règles d'acceptation des cookies (limite le suivi aux sites visités uniquement).TrueTrueTrueTrue
Avertissement concernant la fraudeApplique automatiquement les avertissements de vérification anti-hameçonnage dans les flux de travail du navigateur Safari pour mobile.FalseTrueTrueTrue

macOS

Code d'accès et authentification

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Longueur minimaleImpose un nombre minimum de caractères (6) afin d'élargir l'espace de clés physique.TrueTrueTrueTrue
Délai d'inactivitéActive automatiquement le verrouillage des appareils mobiles en cas d'inactivité (2 minutes) si le code d'accès n'est pas saisi.TrueTrueTrueTrue
Délai de grâceSupprime le délai de déverrouillage afin d'empêcher tout accès non authentifié au réveil.TrueTrueTrueTrue
Nombre maximal de tentatives infructueusesDéclenche un effacement matériel après un certain nombre de tentatives infructueuses (10) afin d'empêcher les attaques par force brute.FalseTrueTrueTrue
Expiration du code d'accèsDéfinit une durée de vie maximale (90 jours) pour le code afin de limiter l'exposition des codes PIN divulgués.FalseTrueTrueTrue
Historique des codes d'accèsEmpêche la réutilisation des codes précédents (10) afin d'imposer une rotation périodique des identifiants.FalseTrueTrueTrue
Nombre minimal de caractères complexesDéfinit le nombre minimum (1) de caractères spéciaux ou de chiffres requis.FalseTrueTrueTrue

Sécurité du système et pare-feu

FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Pare-feu applicatifActive globalement le pare-feu interne basé sur les sockets du logiciel hôte.TrueTrueTrueTrue
Désactivation de FileVaultSupprime explicitement les droits d'administration locaux permettant de désactiver le chiffrement du disque.FalseTrueTrueTrue
GardienAssure la vérification de la signature des applications via l'inspection native de Gatekeeper.FalseFalseTrueTrue
Compte invitéDésactive les profils utilisateur standard du bac à sable ambiant afin de supprimer l'accès anonyme.FalseFalseTrueTrue
Mode furtif du pare-feuConfigure le pare-feu pour rejeter les requêtes ICMP non vérifiées et ignorer les analyses de réseau.FalseFalseFalseTrue
Bonjour MulticastDésactive l'indexation et la diffusion des services du réseau local via mDNS.FalseFalseFalseTrue
Sauvegardes des supportsIntercepte les connexions des applications locales afin d'empêcher les sauvegardes iTunes des utilisateurs.FalseFalseFalseTrue
FonctionnalitéDescriptionLevel 1Level 2Level 3Level 4
Cookies SafariGère les règles d'acceptation des cookies (limite le suivi aux sites visités uniquement).TrueTrueTrueTrue
Avertissement concernant la fraudeActive les vérifications de correspondance par rapport aux terminaux de hameçonnage répertoriés avant le chargement.FalseTrueTrueTrue
Afficher l'URL complèteAffiche l'URL complète afin d'empêcher toute dissimulation ou usurpation de domaine.FalseTrueTrueTrue