Checklist de sécurité concernant la gestion des appareils

Ces bonnes pratiques de sécurité sont destinées aux administrateurs Google Workspace et Cloud Identity.

En tant qu'administrateur, vous pouvez contribuer à la protection des données professionnelles stockées sur les appareils personnels des utilisateurs (BYOD) et sur ceux appartenant à l'entreprise, en utilisant les paramètres et fonctionnalités de gestion des points de terminaison Google. D'autres fonctionnalités de sécurité offrent une meilleure protection du compte, un contrôle d'accès précis et la protection des données. Consultez la checklist suivante pour vous assurer que vous respectez les objectifs de votre organisation concernant la sécurité des appareils.

Tous les mobiles

Exiger des mots de passe

Protégez les données stockées sur les appareils mobiles gérés en demandant aux utilisateurs de définir le verrouillage de l'écran ou un mot de passe pour leur appareil. Pour les appareils sur lesquels la gestion avancée est activée, vous pouvez également définir le type, le niveau de sécurité et le nombre minimal de caractères du mot de passe.

Définir le niveau de sécurité du mot de passe pour les appareils mobiles gérés

Verrouiller ou effacer les données d'entreprise stockées sur des appareils perdus

En cas de perte d'un appareil ou de départ d'un employé, la sécurité des données professionnelles de l'appareil n'est plus garantie. Vous pouvez supprimer le compte professionnel d'un utilisateur sur un appareil, y compris toutes ses données professionnelles. Si la gestion avancée est activée pour certains appareils, vous pouvez en effacer toutes les données. Cette fonctionnalité n'est pas disponible dans la version gratuite de Cloud Identity.

Appareils mobiles pour lesquels la gestion avancée est activée

Exiger le chiffrement de l'appareil

Les données stockées sous forme chiffrée ne sont lisibles que lorsque l'appareil est déverrouillé. Le fait de déverrouiller l'appareil entraîne le déchiffrement des données. Le chiffrement offre une protection supplémentaire en cas de perte ou de vol de l'appareil.

Exiger le chiffrement de l'appareil

Appliquer des restrictions aux appareils

Vous pouvez restreindre les possibilités des utilisateurs d'appareils Android et Apple iOS en termes de partage et de sauvegarde de données. Vous pouvez par exemple interdire les transferts de fichiers via USB sur les appareils Android et les sauvegardes dans le cloud personnel sur les appareils iOS. Vous pouvez également restreindre l'accès à certains paramètres relatifs à l'appareil et au réseau. Vous pouvez par exemple désactiver la caméra de l'appareil et empêcher les utilisateurs d'appareils Android de modifier leurs paramètres Wi-Fi.

Bloquer les appareils dont la sécurité est compromise

Interrompez la synchronisation d'un compte utilisateur professionnel avec les appareils Android dont la sécurité pourrait être compromise. La sécurité d'un appareil est compromise lorsqu'il est passé en mode root ou qu'il est jailbreaké, des processus qui éliminent les restrictions appliquées à un appareil. Un appareil dont la sécurité est compromise peut constituer une menace de sécurité potentielle.

Bloquer les appareils dont la sécurité est compromise

Bloquer automatiquement les appareils Android qui ne respectent pas vos règles

Lorsqu'un appareil n'est plus conforme aux règles en vigueur dans votre organisation, vous pouvez automatiquement bloquer son accès aux données professionnelles et lui envoyer une notification. Si, par exemple, un utilisateur définit sur son appareil un mot de passe de 5 caractères alors que vous exigez des mots de passe d'au moins 6 caractères, l'appareil est considéré comme non conforme, car il ne respecte pas votre règle relative aux mots de passe.

Définir des règles de gestion des appareils

Ordinateurs qui accèdent aux données professionnelles

Activer la validation des points de terminaison

Lorsque des ordinateurs portables et de bureau sont gérés via la validation des points de terminaison, l'accès contextuel vous permet de protéger les données de votre organisation et d'obtenir plus d'informations sur les appareils qui accèdent à ces données.

Activer la validation des points de terminaison

Restreindre la synchronisation de Drive File Stream aux appareils détenus par l'entreprise

Drive File Stream permet aux utilisateurs de travailler sur des fichiers Drive à partir de leur ordinateur Apple Mac ou Microsoft Windows sans utiliser de navigateur. Pour limiter l'exposition des données de votre organisation, vous pouvez autoriser Drive File Stream à s'exécuter uniquement sur les appareils appartenant à l'entreprise et répertoriés dans votre parc informatique.

Restreindre l'utilisation de Drive File Stream aux appareils autorisés

Configurer le fournisseur d'informations d'identification Google pour Windows

Autorisez les utilisateurs à se connecter à des ordinateurs Windows 10 avec leur compte Google professionnel. Le fournisseur d'informations d'identification Google pour Windows inclut la validation en deux étapes et des questions d'authentification à la connexion. Les utilisateurs peuvent également accéder aux services Google Workspace et à d'autres applications à authentification unique (SSO) sans avoir à saisir à nouveau leur nom d'utilisateur et leur mot de passe Google.

Présentation : Fournisseur d'informations d'identification Google pour Windows

Restreindre les droits d'utilisateur sur les ordinateurs Windows détenus par l'entreprise

Grâce à la gestion des appareils Windows, vous pouvez contrôler les actions que les utilisateurs peuvent effectuer sur leurs ordinateurs Windows 10 détenus par l'entreprise. Vous pouvez définir le niveau d'autorisation d'administration des utilisateurs pour Windows. Vous pouvez également appliquer des paramètres Windows de sécurité, de réseau, de matériel et de logiciel.

Autres options de sécurité pour tous les appareils

Empêcher les accès non autorisés au compte d'un utilisateur​

Exigez une preuve d'identité supplémentaire lorsque les utilisateurs se connectent à leur compte Google avec la validation en deux étapes. Cette preuve peut être une clé de sécurité physique, une clé de sécurité intégrée à l'appareil de l'utilisateur, un code de sécurité envoyé par SMS ou appel téléphonique, etc.

Lorsque Google soupçonne une tentative de connexion au compte de l'un de vos utilisateurs par une personne non autorisée, cette dernière est invitée à répondre à une question secrète ou à une question d'authentification à la connexion supplémentaire. Si votre organisation utilise le service de gestion des points de terminaison Google, nous pouvons demander aux utilisateurs de valider leur identité sur leur appareil mobile géré (celui à l'aide duquel ils accèdent habituellement à leur compte professionnel). Des questions d'authentification supplémentaires permettent de réduire considérablement le risque d'accès à un compte utilisateur par une personne non autorisée.

Utiliser l'accès contextuel pour autoriser l'accès depuis l'extérieur de votre VPN

Vous pouvez configurer différents niveaux d'accès en fonction de l'identité d'un utilisateur et du contexte de sa demande (pays/région, état de sécurité de l'appareil, adresse IP). Vous pouvez par exemple bloquer l'accès des données Google Workspace à un appareil mobile si celui-ci se trouve en dehors d'un pays ou d'une région spécifique, ou s'il ne respecte pas vos exigences en termes de chiffrement et de mot de passe. Vous pouvez également autoriser l'utilisateur à accéder aux données Google Workspace uniquement sur les Chromebooks gérés par l'entreprise.

Présentation de l'accès contextuel

Contrôler les applications autorisées à accéder aux données Google Workspace

Définissez les applications mobiles devant être gérées par votre organisation. Vous pouvez également spécifier les services auxquels une application peut accéder avec le contrôle d'accès des applications. Cela empêche les applications malveillantes de duper les utilisateurs pour les inciter à accorder accidentellement l'accès à leurs données professionnelles. Le contrôle d'accès des applications est indépendant de l'appareil et bloque l'accès aux applications non autorisées sur les appareils personnels comme sur ceux détenus par l'entreprise.

Identifier les données sensibles dans Google Drive, Docs, Sheets, Slides et Gmail

Protégez les données sensibles, telles que les identifiants personnels délivrés par une autorité administrative, en définissant des règles de protection contre la perte de données. Ces règles peuvent détecter de nombreux types de données, et vous pouvez également créer des détecteurs de contenu personnalisés pour répondre aux besoins spécifiques de l'entreprise. La protection contre la perte de données protège les données au niveau de la source et de l'application. Elle s'applique à plusieurs appareils et méthodes d'accès.

Protéger les informations sensibles à l'aide de la protection contre la perte de données

 

Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.