Accès sécurisé aux données de l'entreprise sur les appareils personnels

Problématique métier

Les entreprises doivent faire face au défi de fournir un accès sécurisé sur des appareils personnels.

La prolifération des appareils mobiles a modifié notre manière de travailler. Les employés souhaitent accéder à des applications professionnelles où qu'ils se trouvent, que ce soit dans un lieu de travail traditionnel ou en route pour l'aéroport.

Même lorsque les entreprises fournissent des appareils mobiles détenus par l'entreprise, de nombreux employés préfèrent utiliser leur appareil préféré, pour leurs activités personnelles comme professionnelles. Il s'agit généralement de leur appareil personnel.

Les entreprises doivent faire face au défi de fournir un environnement de travail mobile capable de répondre à des exigences d'apparence contradictoire :

  • Un environnement confortable et productif pour les employés
  • Sécuriser l'accès aux applications et données d'entreprise

Votre entreprise déploie une nouvelle règle permettant l'accès aux données de l'entreprise sur les appareils mobiles personnels. Les employés ne peuvent accéder aux informations de l'entreprise que par le biais d'applications sélectionnées et approuvées.

Solutions

Grâce à la gestion avancée des appareils mobiles, vous disposez de plusieurs méthodes pour fournir à vos collaborateurs les applications professionnelles dont ils ont besoin sur leurs appareils personnels, tout en mettant en œuvre des règles qui protègent les données d'entreprise.

Créer une liste blanche d'applications approuvées

Une liste blanche contient des applications sélectionnées et approuvées.

L'objectif des listes blanches d'applications est de protéger les ressources de l'entreprise contre les applications potentiellement dangereuses. Une liste blanche d'applications contient des applications sélectionnées par un service informatique et approuvées pour une utilisation professionnelle.

À l'aide des listes blanches pour les applications professionnelles, vous pouvez gérer vos applications professionnelles sur des appareils mobiles personnels et laisser des applications personnelles sous contrôle de l'utilisateur. Vous distribuez des applications à des utilisateurs appartenant à une organisation ou à un groupe spécifique de Google Groupes.

Sélectionnez des applications dans le Google Play d'entreprise pour les appareils Android et l'App Store d'Apple pour les appareils iOS, puis ajoutez-les à une liste blanche. Les utilisateurs peuvent consulter un catalogue d'applications en liste blanche sur leurs appareils. Lorsqu'un utilisateur installe une application en liste blanche, c'est votre organisation qui gère cette application. En cas de perte ou de vol d'un appareil, vous pouvez supprimer les applications gérées en effaçant cet appareil à distance.

Appliquer les profils professionnels sur les appareils Android

Sur les appareils Android, les profils professionnels séparent les données professionnelles des données personnelles.

Les profils professionnels sur les appareils Android 5.0 (ou version ultérieure) séparent les données, applications et comptes professionnels des données, applications et comptes personnels. L'entreprise gère les applications et les données d'entreprise. Les utilisateurs contrôlent tout le reste du contenu de l'appareil. Les applications gérées (les applications professionnelles approuvées de votre liste blanche d'applications Android) proviennent de la plate-forme Google Play d'entreprise.

Lorsque vous activez la gestion des applications Android sur les appareils Android de votre entreprise, vous pouvez autoriser les employés à activer ce service, ou demander aux employés d'utiliser des profils professionnels. Lorsque vous demandez l'utilisation des profils professionnels et qu'un utilisateur tente d'accéder aux ressources d'entreprise depuis un appareil sans profil professionnel, l'utilisateur est invité à en créer un.

Exigez des applications gérées sur les appareils iOS

Les applications gérées sur les appareils iOS n'autorisent pas le partage de fichiers entre les applications gérées et non gérées.

Lorsque vous ajoutez une application à la liste blanche d'applications iOS, vous pouvez la définir comme application gérée. Ainsi, l'entreprise obtient un meilleur contrôle de l'application gérée et de ses données sur les appareils iOS personnels. Par exemple, si les utilisateurs possèdent un compte Gmail personnel et que vous spécifiez Gmail en tant qu'application gérée, ils ne pourront accéder à leur messagerie professionnelle que via la version gérée de Gmail.

Le partage de fichiers entre applications gérées et non gérées n'est pas autorisé. Par exemple, les utilisateurs ne peuvent pas sauvegarder les données d'une application professionnelle gérée sur une entité externe telle qu'iCloud ou iTunes. Si un utilisateur crée un fichier PDF dans une application professionnelle gérée, il ne peut pas l'ouvrir dans une application personnelle non gérée.

Si un utilisateur dispose déjà d'une version non gérée d'une application professionnelle gérée sur son appareil, il reçoit une notification l'invitant à autoriser votre organisation à gérer cette application. S'il refuse, il peut toujours utiliser l'application personnelle non gérée, mais il perd l'accès à son compte professionnel et à toutes les applications gérées depuis cet appareil.

Définir des configurations gérées sur les appareils Android

Dans certaines applications Android, des paramètres peuvent être enregistrés en tant que configurations gérées. Les configurations gérées vous permettent de préconfigurer des applications pour vos utilisateurs. Vous pouvez également créer plusieurs configurations gérées pour la même application, et appliquer différentes configurations à différents groupes ou organisations.

Les administrateurs peuvent facilement déployer des applications avec des paramètres complexes, telles que des applications VPN. Les employés n'ont pas besoin de configurer les applications. Cela évite les appels au centre d'assistance en cas de problèmes liés à une mauvaise configuration.

Déployer automatiquement les applications approuvées sur les appareils Android

Lors de la configuration d'une liste blanche, vous pouvez choisir d'installer automatiquement les applications professionnelles principales sur les appareils Android et d'attribuer les applications appropriées à des organisations spécifiques. Les utilisateurs disposent des applications dont ils ont besoin sans les télécharger manuellement depuis Google Play.

Recommandations

La gestion avancée des appareils mobiles offre des options performantes pour garantir un accès professionnel sécurisé sur des appareils mobiles personnels. Vous devez vous inscrire à Cloud Identity Premium pour bénéficier de la gestion avancée des appareils mobiles.

Nous vous recommandons de créer des listes blanches d'applications professionnelles approuvées, d'appliquer des profils professionnels sur les appareils Android et d'exiger des applications gérées sur les appareils iOS.

Lorsqu'elle est compatible avec une application, la mise en œuvre de configurations gérées et le déploiement automatique des applications approuvées sur les appareils Android apportent un gain de temps important aux administrateurs comme aux utilisateurs. Ces fonctionnalités sont facultatives, mais recommandées.

Fournisseurs tiers

Fournisseurs EMM tiers

Pour que vous puissiez profiter des fonctionnalités de gestion avancée des appareils mobiles avec Cloud Identity, Google doit être votre fournisseur de gestion de la mobilité en entreprise (EMM).

Fournisseurs d'identité tiers

Si vous disposez d'un fournisseur d'identité tiers, vous pouvez toujours utiliser la gestion avancée des appareils mobiles. Dans ce cas, l'authentification des utilisateurs est la plupart du temps effectuée auprès du fournisseur d'identité tiers (à l'exception de l'enregistrement de l'appareil). Les utilisateurs se connectent avec les identifiants de leur fournisseur d'identité tiers ou à l'aide d'un mot de passe sur leurs comptes Cloud Identity.

Pour gérer l'accès aux applications professionnelles sur les appareils mobiles à l'aide de la gestion avancée des appareils mobiles, procédez comme suit :

  • Créez des comptes Cloud Identity pour vos utilisateurs.
  • Lorsque les utilisateurs enregistrent leurs appareils en vue d'être gérés, ils doivent saisir leurs identifiants Cloud Identity et non leurs identifiants d'IdP tiers.

Exemple

Les entreprises peuvent utiliser la gestion avancée des appareils mobiles pour sécuriser les données professionnelles sur les appareils personnels.

L'entreprise A estime qu'au moins 40 % de son personnel utilise des appareils mobiles pour accéder à des ressources d'entreprise. Elle décide de ne pas obliger les employés à utiliser des appareils détenus (et contrôlés) par l'entreprise. Cela est coûteux, et les employés préfèrent utiliser leurs appareils personnels pour leurs activités personnelles et professionnelles.

Pour promouvoir un environnement de travail convivial, l'entreprise A décide de laisser ses employés utiliser des appareils mobiles personnels à des fins professionnelles. Elle ne veut pas sacrifier la sécurité d'entreprise. À l'aide de la gestion avancée des appareils mobiles, l'entreprise A prévoit de mettre en œuvre une règle permettant de protéger la sécurité des données personnelles et professionnelles.

Voici comment configurer l'entreprise A configure son environnement mobile.

S'inscrire à l'édition Premium de Cloud Identity

Les fonctionnalités avancées de gestion des appareils mobiles du service Gestion des appareils mobiles Google ne sont disponibles que dans l'édition Premium de Cloud Identity. L'entreprise A s'inscrit donc à Cloud Identity Premium.

Créer des comptes utilisateur et attribuer des applications à des organisations

Lorsque le service informatique ajoute des utilisateurs à Cloud Identity, il spécifie également chaque utilisateur comme membre d'une organisation spécifique. Le service informatique attribue les applications appropriées à des organisations spécifiques, telles que :

  • Applications de messagerie, de RH et de collaboration à l'organisation de premier niveau (pour que tout le monde en bénéficie)
  • Gestion de la relation client (CRM) à l'organisation commerciale
  • Application de support client au service Support

Attribuez les applications appropriées à des UO spécifiques.

Configurer la gestion avancée des appareils mobiles

Le service informatique active la gestion avancée: il active la gestion des applications Android pour les utilisateurs Android et configure un certificat push iOS pour les utilisateurs iOS.

La configuration de l'approbation des appareils est facultative, mais l'entreprise A décide de la mettre en œuvre. Des utilisateurs ont signalé des problèmes au niveau des applications professionnelles lorsque leur appareil mobile n'exécute pas une version récente du système d'exploitation. Le service informatique souhaite s'assurer que tous les appareils mobiles sont à jour.

Le service informatique utilise les approbations d'appareils pour vérifier les caractéristiques des appareils, par exemple leur modèle ou leur système d'exploitation, afin de définir les appareils qu'un employé peut utiliser. Il peut vérifier les caractéristiques manuellement, par programmation à l'aide d'une API ou encore à l'aide de règles. Les règles n'offrent pas un contrôle aussi précis que l'API, mais elles sont plus faciles à déployer. Le service informatique utilise des règles pour n'approuver que les appareils qui exécutent des versions récentes des systèmes d'exploitation. Les utilisateurs doivent s'assurer de la conformité de leurs appareils pour accéder aux ressources de l'entreprise.

Appliquer les applications professionnelles ajoutées à la liste blanche

Le service informatique crée des listes blanches des applications professionnelles que l'entreprise A souhaite utiliser, par exemple des applications de messagerie, de collaboration et de conférence. Il sélectionne des applications sur le Google Play Store et l'App Store, puis les ajoute à une liste blanche (une pour les appareils Android et une pour les appareils iOS).

L'entreprise A souhaite faire plus que de simplement recommander des applications professionnelles à ses utilisateurs. Elle souhaite leur imposer l'utilisation des applications professionnelles approuvées lorsqu'ils accèdent à des ressources d'entreprise. Le service informatique choisit d'appliquer les profils professionnels sur les appareils Android. Les utilisateurs ne peuvent pas synchroniser de données d'entreprise à moins d'accepter le profil professionnel, et ne peuvent pas le désactiver. Si un appareil Android sans profil professionnel est déjà enregistré pour la gestion, son utilisateur est invité à créer ce profil.

De plus, le service informatique impose l'utilisation des applications gérées sur les appareils iOS. La gestion avancée des appareils mobiles permet de détecter l'existence d'une version non gérée d'une application sur un appareil mobile. Pour accéder aux ressources d'entreprise, l'utilisateur doit activer la gestion pour l'application.

Préconfigurer des applications complexes pour les appareils Android

Pour éviter les appels d'assistance générés par la configuration VPN, l'entreprise A décide de passer à une application VPN compatible avec la configuration gérée sur les appareils Android. Le service informatique prévoit de collaborer avec ses fournisseurs afin que les autres applications disposent de paramètres que les administrateurs peuvent enregistrer en tant que configurations gérées.

Déployer les applications approuvées sur les appareils Android

Pour plus de commodité, le service informatique déploie les applications professionnelles approuvées de chaque organisation sur les appareils des utilisateurs de l'organisation. Cela lui permet également de gagner du temps, car les utilisateurs peuvent trouver et télécharger les applications facilement et n'ont pas besoin d'appeler l'assistance.

Informer les utilisateurs

Le service informatique informe les employés que leurs appareils mobiles sont gérés, et ils sont invités à enregistrer leurs appareils dans la gestion avancée à l'aide de leurs identifiants Cloud Identity.

Pour procéder à l'inscription, les utilisateurs qui possèdent des appareils Android installent l'application Google Apps Device Policy ainsi qu'un profil professionnel. Les utilisateurs disposant d'appareils iOS installent l'application Google Device Policy, ainsi qu'un profil Device Policy. L'application et le profil vérifient que l'appareil est conforme aux règles définies par le service informatique. Seuls les appareils inscrits peuvent synchroniser les données d'entreprise.