Grâce aux messages de résolution et aux messages personnalisés dans l'accès contextuel, vous pouvez aider les utilisateurs à débloquer leur accès lorsqu'une règle les empêche d'ouvrir une application. Ces messages facultatifs (mais recommandés) peuvent aider les utilisateurs à redevenir productifs et contribuent à réduire les demandes d'assistance aux administrateurs.
Supposons, par exemple, que l'utilisateur d'un appareil mobile parvienne à consulter Gmail au bureau pendant la journée, mais qu'il est bloqué lorsqu'il tente d'y accéder à la maison le soir. Lorsque les messages de résolution sont activés, des conseils s'affichent pour lui expliquer comment résoudre ce blocage.
Les messages de résolution et les messages personnalisés sont disponibles pour les niveaux d'accès développés en mode de base et en mode avancé, ainsi que pour les services principaux et les applications SAML.
Activer les messages de résolution et les messages personnalisés pour aider les utilisateurs à débloquer leur accès
Lorsqu'ils sont bloqués, les utilisateurs peuvent recevoir les types de messages suivants :
- Message par défaut : s'affiche si vous n'avez ajouté aucun message de résolution ni aucun message personnalisé. Exemple de message par défaut : Le règlement de votre entreprise bloque l'accès à cette application.
- Message de résolution : remplace le message par défaut. Chaque message est généré par le système et correspond au cas spécifique de non-respect des règles qui a entraîné le blocage de l'utilisateur.
Les messages de résolution présentent parfois plusieurs options pour résoudre le problème, que l'utilisateur peut développer en cliquant sur Afficher plus d'options. Lorsque plusieurs options de résolution sont disponibles, l'utilisateur doit suivre l'une des procédures proposées pour débloquer son accès. - Message personnalisé : offre une aide spécifique à l'utilisateur, comme des conseils supplémentaires pour débloquer l'accès ou un lien utile sur lequel cliquer. Vous pouvez personnaliser le contenu du message en fonction des besoins. Un message personnalisé peut s'afficher à côté du message par défaut, ou avec des messages de résolution.
Le tableau ci-dessous illustre l'interactivité de ces messages :
Les messages de résolution sont-ils activés ? | Un message personnalisé a-t-il été ajouté ? | Messages visibles par l'utilisateur |
---|---|---|
Non | Non | Message par défaut uniquement |
Oui | Non | Messages de résolution uniquement. Dans certains cas, le message par défaut peut s'afficher si les messages de résolution ne peuvent être générés. |
Non | Oui | Message par défaut et message personnalisé |
Oui | Oui | Messages de résolution et message personnalisé |
Comprendre les messages de résolution
Chaque opération de résolution correspond à un attribut qui est à l'origine du refus d'accès. Le tableau suivant récapitule les différents messages de résolution que l'utilisateur peut voir. Les messages sont systématiquement créés en fonction de la règle qui a été enfreinte.
Notez que différents messages peuvent s'afficher pour le même attribut en fonction du niveau d'accès. Par exemple, si le niveau d'accès est device.screen_lock_enabled == true, le message suivant s'affiche : Définissez un mot de passe pour l'écran de votre appareil. Si le niveau d'accès est device.screen_enabled_enabled == false, le message suivant s'affiche : Supprimez le mot de passe de l'écran de votre appareil. La suppression du mot de passe de l'écran peut présenter un risque pour la sécurité de l'utilisateur. C'est pourquoi il doit confirmer cette action auprès de l'administrateur.
Les messages qui s'affichent en réalité peuvent être différents de ceux présentés ci-dessous.
Attribut | Message |
---|---|
Approbation de l'administrateur | Utilisez un appareil approuvé par votre organisation. Contactez votre administrateur si vous n'en avez pas. |
Utilisez un appareil non associé à votre organisation. Cette option pouvant présenter un risque pour votre sécurité, soumettez-la à votre administrateur. | |
Appareil détenu par l'entreprise | Utilisez un appareil appartenant à votre organisation. Contactez votre administrateur si vous n'en avez pas. |
Utilisez un appareil qui n'appartient pas à votre organisation. | |
Correspondance de profil CTS | Rétablissez la configuration d'usine de votre appareil. |
Votre appareil ne peut pas accéder à cette appli avec une installation OEM d'Android. Contactez votre administrateur pour obtenir plus d'informations. | |
Chiffrement | Utilisez un appareil dont l'état de chiffrement est l'un des suivants : [état1, état2]. |
Utilisez un appareil dont l'état de chiffrement n'est pas [état]. | |
Contient des applications potentiellement dangereuses | Désinstallez toute appli signalée par Google Play Protect comme potentiellement dangereuse. |
Votre appareil ne peut pas accéder à cette appli avec les applis installées actuellement. Contactez votre administrateur pour obtenir plus d'informations. | |
Adresse IP | Vous ne pouvez pas accéder à cette appli à partir de votre sous-réseau IP actuel. Contactez votre administrateur pour en savoir plus. |
Type d'OS | Utilisez un appareil compatible avec l'un des types d'OS suivants : [os1, os2] |
Passez à un appareil qui n'utilise pas [os1]. | |
Version d'OS | Passez à la version [version OS X] ou ultérieure. |
Mettez à jour votre appareil vers une version d'OS antérieure à [version X]. | |
Attributs partenaire | Installez [NOM DU PARTENAIRE] sur votre appareil1. |
Selon les informations de [NOM DU PARTENAIRE], votre appareil ne respecte pas certaines exigences2. | |
Code régional | Vous ne pouvez pas accéder à cette appli depuis votre position actuelle. Contactez votre administrateur pour en savoir plus. |
Verrouillage de l'écran | Définissez un mot de passe pour l'écran de votre appareil. |
Supprimez le mot de passe de l'écran de votre appareil. Cette option pouvant présenter un risque pour votre sécurité, soumettez-la à votre administrateur. | |
Vérifier les applications | Activez Google Play Protect sur votre appareil. |
Désactivez Google Play Protect sur votre appareil. | |
Démarrage validé | Suivez les instructions du fabricant de votre appareil pour verrouiller le bootloader. |
Suivez les instructions du fabricant de votre appareil pour déverrouiller le bootloader. | |
Système Chrome OS validé | Installez une version validée de Chrome OS sur votre appareil. |
Vous ne pouvez pas accéder à cette appli avec un système Chrome OS validé. |
1 Assurez-vous que l'application de sécurité du partenaire (Lookout, par exemple) est installée sur l'appareil. Si elle est installée, mais que l'utilisateur voit toujours ce message, il est possible que l'appareil ne soit pas correctement enregistré dans le MDM du partenaire. Consultez le tableau de bord des partenaires pour le vérifier. Si nécessaire, contactez le partenaire pour résoudre le problème.
2 Consultez l'application partenaire sur l'appareil pour en savoir plus. Si nécessaire, contactez le partenaire pour résoudre le problème.
Comprendre les messages de résolution et les intégrations partenaires tierces
En tant qu'administrateur, vous pouvez intégrer des solutions partenaires tierces compatibles (celles faisant partie de BeyondCorp Alliance) à la gestion Google des points de terminaison dans la console d'administration Google. Ce texte d'information s'affiche dans l'interface des messages de résolution pour expliquer que des messages de partenaires peuvent être disponibles pour les utilisateurs :
Exemple avec Lookout :
Pour en savoir plus, consultez Configurer les intégrations partenaires tierces.
Erreurs courantes à corriger avant que l'utilisateur puisse voir les messages de résolution ou les messages personnalisés
Ces erreurs doivent être résolues pour que les utilisateurs puissent voir les messages de résolution :
Impossible de reconnaître votre appareil. La procédure peut varier selon le type d'appareil.
Google ne reconnaît pas l'appareil de connexion. L'étape de résolution dépend de la plate-forme.
- Ordinateurs : les utilisateurs doivent utiliser un profil Chrome sur lequel l'extension Endpoint Verification est installée. Les utilisateurs ne peuvent pas se connecter aux applications Google Workspace en mode Navigation privée, en mode Invité ou depuis un profil personnel. Notez que ce message d'erreur peut s'afficher lorsqu'un utilisateur tente de se connecter à un nouvel appareil pour la première fois. Dans ce cas, l'utilisateur doit synchroniser son appareil avec l'extension Endpoint Verification et actualiser le navigateur.
- Appareils mobiles : pour que les appareils soient reconnus par l'accès contextuel, ils doivent être gérés par la gestion Google des points de terminaison (gestion de base ou avancée). Pour en savoir plus, consultez Gérer les appareils à l'aide de la gestion Google des points de terminaison. De plus, les appareils devront peut-être être synchronisés pour que Google reconnaisse la connexion. Pour en savoir plus, consultez Synchroniser votre appareil.
Synchroniser votre appareil
- Ordinateurs : les utilisateurs doivent synchroniser leur appareil avec l'extension Endpoint Verification.
- Ordinateurs : les appareils gérés en mode avancé peuvent se synchroniser avec l'application Device Policy. Pour les appareils gérés en mode de base, les utilisateurs peuvent patienter jusqu'à la synchronisation standard ou se reconnecter à n'importe quelle application Google. Informez l'utilisateur que la synchronisation de l'appareil peut prendre un certain temps.
-
Appareils iOS : les sessions Google dans les différentes applications sont suivies à l'aide des sessions ou des jetons dans Safari. Si les jetons Safari sont supprimés (manuellement par l'utilisateur ou par la prévention intelligente du suivi d'Apple), les connexions suivantes ne peuvent pas être mappées à l'appareil connecté d'origine. Par conséquent, les nouvelles connexions peuvent être bloquées et le message "Impossible de reconnaître votre appareil. La procédure peut varier selon le type d'appareil" peut s'afficher si ce message de résolution est activé. Ce problème peut survenir aussi bien sur les appareils gérés en mode de base que ceux gérés en mode avancé.
L'utilisateur doit suivre ces étapes pour débloquer la connexion :-
Il doit supprimer le compte Google d'entreprise de toutes les applications Google.
Il doit se déconnecter du compte Google dans Safari et le supprimer de toutes les applications autres que Google qui pourraient l'utiliser. -
Il doit vider le cache et supprimer les cookies dans Safari.
-
Il doit se connecter à n'importe quelle application Google propriétaire, telle que Drive ou Gmail.
-
Il doit accéder à toutes les autres applications Google propriétaires pour vérifier qu'il y a accès.
-
S'il a besoin d'accéder à des applications autres que Google, il doit s'y connecter quelques jours après s'être connecté aux applications Google.
S'il ne se connecte pas dans les 30 jours suivant l'étape 3 et que l'application est bloquée, il doit suivre de nouveau cette procédure à partir de l'étape 1.
-
-
Implémenter des messages de résolution ou des messages personnalisés
Activer les messages de résolution
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
- Sur la page d'accueil de la console d'administration, accédez à Sécurité Contrôle des accès et des donnéesAccès contextuel.
- Sélectionnez Message utilisateur.
- Sous "Messages de résolution", cliquez sur Désactivé et faites glisser le curseur vers la droite pour activer les messages. Une coche s'affiche.
- Cliquez sur Enregistrer.
À ce stade, vous pouvez également ajouter un message personnalisé.
Ajouter un message personnalisé
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
- Sur la page d'accueil de la console d'administration, accédez à Sécurité Contrôle des accès et des données Accès contextuel.
- Sélectionnez Message utilisateur.
- Sous "Message personnalisé supplémentaire", saisissez votre message.
- Cliquez sur Aperçu pour prévisualiser ce que l'utilisateur verra.
- Cliquez sur Enregistrer.
Comment les messages de résolution et les messages personnalisés s'affichent-ils pour les utilisateurs ?
Message par défaut uniquement
Voici un exemple de message que l'utilisateur peut voir si aucun message de résolution ou message personnalisé n'est configuré.
Message par défaut et message personnalisé
Voici un exemple de message que l'utilisateur peut voir si aucun message de résolution n'est configuré, mais qu'un message personnalisé est disponible.
Message de résolution uniquement
Voici un exemple de message que l'utilisateur peut voir si les messages de résolution sont configurés sans message personnalisé. L'utilisateur clique sur Afficher plus d'options pour développer la procédure de résolution.
Messages de résolution et message personnalisé
Voici un exemple de message que l'utilisateur peut voir si des messages de résolution et un message personnalisé sont configurés. L'utilisateur clique sur Afficher plus d'options pour développer la procédure de résolution.
Questions fréquentes sur les messages de résolution et les messages personnalisés de l'accès contextuel
Tout développer | Tout réduire
Une opération de résolution peut-elle entraîner d'autres refus d'accès ?L'accès de l'utilisateur n'est accordé qu'une fois l'appareil synchronisé avec les serveurs Google. L'utilisateur peut essayer de forcer la synchronisation dans certains cas :
- Ordinateur – Synchronisation depuis l'extension Endpoint Verification sur Chrome
- Mobile (gestion avancée) – Synchronisation depuis l'application de gestion des règles relatives aux appareils
- Mobile (gestion de base) – Reconnexion pour les appareils gérés en mode de base
De plus, si l'appareil n'est pas conforme aux exigences du partenaire Beyondcorp Alliance, essayez d'effectuer la synchronisation depuis l'application du partenaire. Notez que dans certains cas, la synchronisation manuelle ne fonctionnera pas. L'utilisateur devra donc attendre qu'une synchronisation se produise.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.