Contrôler l'accès aux applications en fonction du contexte d'un utilisateur et d'un appareil

Aider les utilisateurs à débloquer l'accès aux applications grâce aux messages de résolution dans l'accès contextuel

Activez les messages de résolution pour aider les utilisateurs à débloquer leur accès.

Grâce aux messages de résolution et aux messages personnalisés dans l'accès contextuel, vous pouvez aider les utilisateurs à débloquer leur accès lorsqu'une règle les empêche d'ouvrir une application. Ces messages facultatifs (mais recommandés) peuvent aider les utilisateurs à redevenir productifs et contribuent à réduire les demandes d'assistance aux administrateurs.

Supposons, par exemple, que l'utilisateur d'un appareil mobile parvienne à consulter Gmail au bureau pendant la journée, mais qu'il est bloqué lorsqu'il tente d'y accéder à la maison le soir. Lorsque les messages de résolution sont activés, des conseils s'affichent pour lui expliquer comment résoudre ce blocage.

Les messages de résolution et les messages personnalisés sont disponibles pour les niveaux d'accès développés en mode de base et en mode avancé, ainsi que pour les services principaux et les applications SAML.

Activer les messages de résolution et les messages personnalisés pour aider les utilisateurs à débloquer leur accès

Lorsqu'ils sont bloqués, les utilisateurs peuvent recevoir les types de messages suivants :

  • Message par défaut : s'affiche si vous n'avez ajouté aucun message de résolution ni aucun message personnalisé. Exemple de message par défaut : Le règlement de votre entreprise bloque l'accès à cette application.
  • Message de résolution : remplace le message par défaut. Chaque message est généré par le système et correspond au cas spécifique de non-respect des règles qui a entraîné le blocage de l'utilisateur.
    Les messages de résolution présentent parfois plusieurs options pour résoudre le problème, que l'utilisateur peut développer en cliquant sur Afficher plus d'options. Lorsque plusieurs options de résolution sont disponibles, l'utilisateur doit suivre l'une des procédures proposées pour débloquer son accès.
  • Message personnalisé : offre une aide spécifique à l'utilisateur, comme des conseils supplémentaires pour débloquer l'accès ou un lien utile sur lequel cliquer. Vous pouvez personnaliser le contenu du message en fonction des besoins. Un message personnalisé peut s'afficher à côté du message par défaut, ou avec des messages de résolution.

Le tableau ci-dessous illustre l'interactivité de ces messages :

Les messages de résolution sont-ils activés ? Un message personnalisé a-t-il été ajouté ? Messages visibles par l'utilisateur
Non Non Message par défaut uniquement
Oui Non Messages de résolution uniquement. Dans certains cas, le message par défaut peut s'afficher si les messages de résolution ne peuvent être générés.
Non Oui Message par défaut et message personnalisé
Oui Oui Messages de résolution et message personnalisé

Comprendre les messages de résolution

Chaque opération de résolution correspond à un attribut qui est à l'origine du refus d'accès. Le tableau suivant récapitule les différents messages de résolution que l'utilisateur peut voir. Les messages sont systématiquement créés en fonction de la règle qui a été enfreinte.

Notez que différents messages peuvent s'afficher pour le même attribut en fonction du niveau d'accès. Par exemple, si le niveau d'accès est device.screen_lock_enabled == true, le message suivant s'affiche : Définissez un mot de passe pour l'écran de votre appareil. Si le niveau d'accès est device.screen_enabled_enabled == false, le message suivant s'affiche : Supprimez le mot de passe de l'écran de votre appareil. La suppression du mot de passe de l'écran peut présenter un risque pour la sécurité de l'utilisateur. C'est pourquoi il doit confirmer cette action auprès de l'administrateur.

Les messages qui s'affichent en réalité peuvent être différents de ceux présentés ci-dessous.

Attribut Message
Approbation de l'administrateur Utilisez un appareil approuvé par votre organisation. Contactez votre administrateur si vous n'en avez pas.
Utilisez un appareil non associé à votre organisation. Cette option pouvant présenter un risque pour votre sécurité, soumettez-la à votre administrateur.
Appareil détenu par l'entreprise Utilisez un appareil appartenant à votre organisation. Contactez votre administrateur si vous n'en avez pas.
Utilisez un appareil qui n'appartient pas à votre organisation.
Correspondance de profil CTS Rétablissez la configuration d'usine de votre appareil.
Votre appareil ne peut pas accéder à cette appli avec une installation OEM d'Android. Contactez votre administrateur pour obtenir plus d'informations.
Chiffrement Utilisez un appareil dont l'état de chiffrement est l'un des suivants : [état1, état2].
Utilisez un appareil dont l'état de chiffrement n'est pas [état].
Contient des applications potentiellement dangereuses Désinstallez toute appli signalée par Google Play Protect comme potentiellement dangereuse.
Votre appareil ne peut pas accéder à cette appli avec les applis installées actuellement. Contactez votre administrateur pour obtenir plus d'informations.
Adresse IP Vous ne pouvez pas accéder à cette appli à partir de votre sous-réseau IP actuel. Contactez votre administrateur pour en savoir plus.
Type d'OS Utilisez un appareil compatible avec l'un des types d'OS suivants : [os1, os2]
Passez à un appareil qui n'utilise pas [os1].
Version d'OS Passez à la version [version OS X] ou ultérieure.
Mettez à jour votre appareil vers une version d'OS antérieure à [version X].
Attributs partenaire Installez [NOM DU PARTENAIRE] sur votre appareil1.
Selon les informations de [NOM DU PARTENAIRE], votre appareil ne respecte pas certaines exigences2.
Code régional Vous ne pouvez pas accéder à cette appli depuis votre position actuelle. Contactez votre administrateur pour en savoir plus.
Verrouillage de l'écran Définissez un mot de passe pour l'écran de votre appareil.
Supprimez le mot de passe de l'écran de votre appareil. Cette option pouvant présenter un risque pour votre sécurité, soumettez-la à votre administrateur.
Vérifier les applications Activez Google Play Protect sur votre appareil.
Désactivez Google Play Protect sur votre appareil.
Démarrage validé Suivez les instructions du fabricant de votre appareil pour verrouiller le bootloader.
Suivez les instructions du fabricant de votre appareil pour déverrouiller le bootloader.
Système Chrome OS validé Installez une version validée de Chrome OS sur votre appareil.
Vous ne pouvez pas accéder à cette appli avec un système Chrome OS validé.

1 Assurez-vous que l'application de sécurité du partenaire (Lookout, par exemple) est installée sur l'appareil. Si elle est installée, mais que l'utilisateur voit toujours ce message, il est possible que l'appareil ne soit pas correctement enregistré dans le MDM du partenaire. Consultez le tableau de bord des partenaires pour le vérifier. Si nécessaire, contactez le partenaire pour résoudre le problème.

2 Consultez l'application partenaire sur l'appareil pour en savoir plus. Si nécessaire, contactez le partenaire pour résoudre le problème.

Comprendre les messages de résolution et les intégrations partenaires tierces

En tant qu'administrateur, vous pouvez intégrer des solutions partenaires tierces compatibles (celles faisant partie de BeyondCorp Alliance) à la gestion Google des points de terminaison dans la console d'administration Google. Ce texte d'information s'affiche dans l'interface des messages de résolution pour expliquer que des messages de partenaires peuvent être disponibles pour les utilisateurs :

Exemple avec Lookout :

Pour en savoir plus, consultez Configurer les intégrations partenaires tierces.

Erreurs courantes à corriger avant que l'utilisateur puisse voir les messages de résolution ou les messages personnalisés

Ces erreurs doivent être résolues pour que les utilisateurs puissent voir les messages de résolution :

Impossible de reconnaître votre appareil. La procédure peut varier selon le type d'appareil.

Google ne reconnaît pas l'appareil de connexion. L'étape de résolution dépend de la plate-forme.

  • Ordinateurs : les utilisateurs doivent utiliser un profil Chrome sur lequel l'extension Endpoint Verification est installée. Les utilisateurs ne peuvent pas se connecter aux applications Google Workspace en mode Navigation privée, en mode Invité ou depuis un profil personnel. Notez que ce message d'erreur peut s'afficher lorsqu'un utilisateur tente de se connecter à un nouvel appareil pour la première fois. Dans ce cas, l'utilisateur doit synchroniser son appareil avec l'extension Endpoint Verification et actualiser le navigateur.
  • Appareils mobiles : pour que les appareils soient reconnus par l'accès contextuel, ils doivent être gérés par la gestion Google des points de terminaison (gestion de base ou avancée). Pour en savoir plus, consultez Gérer les appareils à l'aide de la gestion Google des points de terminaison. De plus, les appareils devront peut-être être synchronisés pour que Google reconnaisse la connexion. Pour en savoir plus, consultez Synchroniser votre appareil.

Synchroniser votre appareil

  • Ordinateurs : les utilisateurs doivent synchroniser leur appareil avec l'extension Endpoint Verification.
  • Ordinateurs : les appareils gérés en mode avancé peuvent se synchroniser avec l'application Device Policy. Pour les appareils gérés en mode de base, les utilisateurs peuvent patienter jusqu'à la synchronisation standard ou se reconnecter à n'importe quelle application Google. Informez l'utilisateur que la synchronisation de l'appareil peut prendre un certain temps.

    • Appareils iOS : les sessions Google dans les différentes applications sont suivies à l'aide des sessions ou des jetons dans Safari. Si les jetons Safari sont supprimés (manuellement par l'utilisateur ou par la prévention intelligente du suivi d'Apple), les connexions suivantes ne peuvent pas être mappées à l'appareil connecté d'origine. Par conséquent, les nouvelles connexions peuvent être bloquées et le message "Impossible de reconnaître votre appareil. La procédure peut varier selon le type d'appareil" peut s'afficher si ce message de résolution est activé. Ce problème peut survenir aussi bien sur les appareils gérés en mode de base que ceux gérés en mode avancé.

      L'utilisateur doit suivre ces étapes pour débloquer la connexion : 

      1. Il doit supprimer le compte Google d'entreprise de toutes les applications Google.
        Il doit se déconnecter du compte Google dans Safari et le supprimer de toutes les applications autres que Google qui pourraient l'utiliser. 

      2. Il doit vider le cache et supprimer les cookies dans Safari.

      3. Il doit se connecter à n'importe quelle application Google propriétaire, telle que Drive ou Gmail. 

      4. Il doit accéder à toutes les autres applications Google propriétaires pour vérifier qu'il y a accès. 

      5. S'il a besoin d'accéder à des applications autres que Google, il doit s'y connecter quelques jours après s'être connecté aux applications Google.
        S'il ne se connecte pas dans les 30 jours suivant l'étape 3 et que l'application est bloquée, il doit suivre de nouveau cette procédure à partir de l'étape 1.

Implémenter des messages de résolution ou des messages personnalisés

Activer les messages de résolution

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puisContrôle des accès et des donnéespuisAccès contextuel.
  3. Sélectionnez Message utilisateur.
  4. Sous "Messages de résolution", cliquez sur Désactivé et faites glisser le curseur vers la droite pour activer les messages. Une coche s'affiche.
  5. Cliquez sur Enregistrer.
    À ce stade, vous pouvez également ajouter un message personnalisé.

Ajouter un message personnalisé

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puisContrôle des accès et des données puisAccès contextuel.
  3. Sélectionnez Message utilisateur.
  4. Sous "Message personnalisé supplémentaire", saisissez votre message.
  5. Cliquez sur Aperçu pour prévisualiser ce que l'utilisateur verra.
  6. Cliquez sur Enregistrer.

Comment les messages de résolution et les messages personnalisés s'affichent-ils pour les utilisateurs ?

Message par défaut uniquement

Voici un exemple de message que l'utilisateur peut voir si aucun message de résolution ou message personnalisé n'est configuré.

Message par défaut et message personnalisé

Voici un exemple de message que l'utilisateur peut voir si aucun message de résolution n'est configuré, mais qu'un message personnalisé est disponible.

Message de résolution uniquement

Voici un exemple de message que l'utilisateur peut voir si les messages de résolution sont configurés sans message personnalisé. L'utilisateur clique sur Afficher plus d'options pour développer la procédure de résolution.

Messages de résolution et message personnalisé

Voici un exemple de message que l'utilisateur peut voir si des messages de résolution et un message personnalisé sont configurés. L'utilisateur clique sur Afficher plus d'options pour développer la procédure de résolution.

Questions fréquentes sur les messages de résolution et les messages personnalisés de l'accès contextuel

Tout développer  |  Tout réduire

Une opération de résolution peut-elle entraîner d'autres refus d'accès ?
Non. L'activation ou la désactivation des messages de résolution n'a aucune incidence sur l'état de l'accès. Lorsque le système ne génère pas de messages de résolution, un message par défaut s'affiche sur l'écran existant.
Pourquoi les messages de résolution ne reflètent-ils pas les règles actuelles ?
Si les opérations de résolution ne reflètent pas les règles appropriées, patientez quelques minutes après avoir modifié la règle dans la console d'administration. Par ailleurs, il peut s'écouler quelques minutes avant que les messages de résolution ne reflètent un nouveau niveau d'accès ou un nouveau paramètre de résolution.
Quel est le délai d'accès des utilisateurs une fois les opérations de résolution terminées ?

L'accès de l'utilisateur n'est accordé qu'une fois l'appareil synchronisé avec les serveurs Google. L'utilisateur peut essayer de forcer la synchronisation dans certains cas :

  • Ordinateur – Synchronisation depuis l'extension Endpoint Verification sur Chrome
  • Mobile (gestion avancée) – Synchronisation depuis l'application de gestion des règles relatives aux appareils
  • Mobile (gestion de base) – Reconnexion pour les appareils gérés en mode de base

De plus, si l'appareil n'est pas conforme aux exigences du partenaire Beyondcorp Alliance, essayez d'effectuer la synchronisation depuis l'application du partenaire. Notez que dans certains cas, la synchronisation manuelle ne fonctionnera pas. L'utilisateur devra donc attendre qu'une synchronisation se produise.

Pourquoi les utilisateurs voient-ils toujours les mêmes options de résolution après avoir suivi la procédure indiquée ?
Les options de résolution ne changent pas tant que l'appareil ne s'est pas synchronisé. Lisez la réponse à la question précédente pour en savoir plus sur les options de synchronisation.
Pourquoi les options proposées dans les messages de résolution changent-elles sans qu'aucune opération n'ait été effectuée sur l'appareil ?
Bien que cela se produise rarement, différentes options de résolution peuvent s'afficher pour le même état de l'appareil lorsque les niveaux d'accès sont complexes. De plus, si les niveaux d'accès et/ou la procédure de résolution ont été récemment mis à jour, la prise en compte des modifications peut prendre quelques minutes. En attendant, les options de résolution peuvent changer automatiquement lorsque le navigateur est actualisé.
Pourquoi les messages de résolution ne s'affichent-ils pas alors qu'ils sont activés ?
Cela peut être dû à un niveau d'accès insatisfiable (par exemple, os = 'windows' && os = 'mac').
Les utilisateurs voient-ils le message personnalisé si les messages de résolution sont activés ?
Le message personnalisé s'affiche uniquement si l'administrateur l'a activé. Dans ce cas, il apparaît sous les options du message de résolution.
Comment activer les messages de résolution pour les règles relatives aux appareils ?
Les messages de résolution ne couvrent pas les refus d'accès liés aux règles relatives aux appareils. Ils n'affichent une procédure que pour les règles de l'accès contextuel.
Pourquoi le message de résolution Impossible de reconnaître votre appareil s'affiche-t-il si l'extension Endpoint Verification se synchronise ?
Vérifiez que le compte utilisé pour accéder aux applications est bien celui en cours de synchronisation dans l'extension Endpoint Verification. Si le profil Chrome appartient à un autre utilisateur, il se peut que Endpoint Verification se synchronise avec cet utilisateur.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
6031712801128432211
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false