Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[Intune] Création de stratégie de configuration pour Android for Work

Il y a quelques mois, Microsoft a annoncé le support d’Android for Work par Microsoft Intune. Le support dans un mode hybride par Configuration Manager couplé avec Microsoft Intune est attendu pour ce début d’année 2017. Ce billet s’attachera à visualiser les stratégies de configuration disponibles pour Android for Work à partir de Microsoft Intune dans mode autonome.

Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.

Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.

Parmi les capacités offertes par Android for Work, on retrouve :

  • Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
  • Des stratégies de configuration diverses et variées.

Avant de continuer, vous devez avoir configuré l’intégration avec Android for Work.

Connectez-vous ensuite dans le portail Azure puis le service Microsoft Intune. Dirigez-vous dans la partie Device Configuration - Profiles. Vous pouvez ensuite sélectionner Create Profile… pour créer des stratégies. Le nœud Android for Work regroupe toutes les stratégies associées à la gestion Android for Work.

On retrouve les stratégies suivantes :

  • Les restrictions de périphérique ciblant le système.
  • La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
  • Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
    • Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
    • Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
  • Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
  • La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.

 

Sélectionnez Device Restrictions et faites create profile. Renseignez un nom de stratégie. Vous avez ensuite accès aux paramètres suivants :

  • Device Password
    • Longueur minimale du mot de passe
    • Minutes d’inactivité avant verrouillage de l’appareil
    • Autoriser Smart Lock et d’autres agents de confiance (Android 6 et versions ultérieures)
    • Nombre d’échecs de connexion répétée avant suppression du profil professionnel
    • Mémoriser l’historique des mots de passe
    • Mémoriser l'historique des mots de passe - Empêcher la réutilisation des mots de passe précédents
    • Expiration du mot de passe (jours)
    • Autoriser le déverrouillage par empreinte digitale (Android 6 et versions ultérieures)
  • Work Profile Configuration
    • Autoriser le partage de données entre profils professionnels et personnels
    • Masquer les notifications du profil professionnel quand l’appareil est verrouillé (Android 6 et versions ultérieures)
    • Définir une stratégie d’autorisation d’application par défaut (Android 6 et versions ultérieures)

 

En choisissant Custom, vous pouvez appliquer des configurations OMA-URI personnalisées :

 

Enfin, vous pouvez choisir un des autres profils disponibles (Certificat, Email, VPN, Wi-FI). En utilisant le profil Gmail, vous pouvez spécifier le nom d’hôte, le nom d’utilisateur, l’adresse de messagerie, la méthode d’authentification et les paramètres de synchronisation :

Facebook Like
Anonymous