Automatiser les tâches de gestion des appareils mobiles avec des règles

Cette fonctionnalité est uniquement disponible dans G Suite Enterprise et G Suite Enterprise for Education.

En tant qu'administrateur, vous pouvez définir des règles afin d'automatiser les tâches de gestion des appareils mobiles. Vous avez, par exemple, la possibilité d'approuver automatiquement tous les appareils Android qui doivent être enregistrés en vue de leur gestion. Les actions que vous configurez sont déclenchées dès qu'un des événements spécifiés est détecté sur un appareil Android ou Apple® iOS®. Lorsqu'un événement se produit, vous pouvez envoyer une notification par e-mail aux administrateurs, bloquer ou approuver un appareil, ou effacer les données du compte professionnel de l'appareil.

Si vous passez d'une édition G Suite Business ou G Suite Enterprise à l'édition G Suite Basic, le journal d'audit cesse de collecter des données sur les nouveaux événements. Cependant, les anciennes données restent visibles pour les administrateurs.

Avant de commencer

  • Pour configurer des règles de gestion des appareils dans la console d'administration Google, vous devez disposer de droits de super-administrateur. Pour plus d'informations, consultez l'article Rôles d'administrateurs prédéfinis.
  • Les règles que vous configurez sont appliquées uniquement aux appareils gérés via la gestion avancée des appareils mobiles. Pour en savoir plus, consultez l'article Configurer la gestion des appareils mobiles.

Fonctionnement des règles

Les règles de gestion des appareils sont déclenchées lorsqu'un événement se produit sur un appareil mobile géré. À la détection de cet événement, la règle recherche si des conditions s'appliquent. Si tel est le cas, une action est exécutée.

Par exemple, une notification peut être envoyée aux administrateurs dès qu'un utilisateur annule l'enregistrement de son compte professionnel sur son appareil Android, provoquant une modification de l'état d'enregistrement de son compte. Dans cet exemple :

  • L'événement désigne la modification de l'état d'enregistrement du compte sur l'appareil Android.
  • La condition désigne l'annulation de l'enregistrement du compte sur l'appareil.
  • L'action désigne l'envoi d'une notification aux administrateurs.

Vous pouvez soit créer votre propre règle, soit utiliser un modèle prédéfini. Vous pouvez attribuer une règle à l'ensemble de votre domaine, à une unité organisationnelle ou à un groupe Google, ou encore exempter un groupe. 

Créer et modifier des règles

Créer une règle de gestion des appareils

Vous pouvez utiliser l'un des modèles prédéfinis et le personnaliser selon vos besoins. Si aucun des modèles ne vous convient, créez votre propre règle à partir d'un modèle vierge.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Règles.

    Pour afficher l'option "Règles", vous devrez peut-être cliquer sur Autres commandes au bas de la page. 

  3. Cliquez sur Ajouter Ajouter.
  4. Dans la section Gestion des appareils, choisissez une option : 
    • Sélectionnez Modèle vierge pour créer votre propre règle de A à Z.
    • Sélectionnez un modèle prédéfini dans la liste. Pour plus d'informations, reportez-vous à la section Utiliser les modèles de règles
  5. Saisissez le titre de la règle et sa description.
  6. Cliquez sur Conditions
  7. (Facultatif) Sous Utilisateurs, sélectionnez une unité organisationnelle ou un groupe auxquels appliquer la règle. Vous pouvez également exclure un groupe de la règle. Pour ajouter plusieurs conditions, cliquez sur Ajouter. La règle est appliquée à tous les utilisateurs concernés de l'organisation racine.
  8. Sous Filtres, procédez comme suit :
    • Sélectionnez un type d'appareil (Android, iOS ou tous) auquel appliquer la règle.
    • Sélectionnez l'événement qui déclenchera la règle. 
    • (Facultatif) Sélectionnez toute autre condition que devra vérifier la règle avant d'exécuter une action. Pour ajouter plusieurs conditions, cliquez sur Ajouter.
    Pour plus d'informations, reportez-vous à la section Choisir un événement et des conditions.
  9. Cliquez sur OK
  10. Cliquez sur Actions, puis sélectionnez l'action que doit exécuter la règle sur un appareil dès que les conditions que vous avez définies ci-dessus sont remplies. Pour plus d'informations, consultez la section Choisir une action.
  11. Cliquez sur OK
  12. Sélectionnez une option : 
    • Pour créer la règle et l'activer immédiatement, cliquez sur Créer et activer
    • Pour créer la règle et l'activer ultérieurement, cliquez sur Créer. Lorsque vous souhaiterez l'activer, vous devrez la sélectionner dans la liste, puis cliquer sur Activer les règles Activate rules en haut de la page.
Modifier une règle de gestion des appareils
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Règles.

    Pour afficher l'option "Règles", vous devrez peut-être cliquer sur Autres commandes au bas de la page. 

  3. En haut de la page, sélectionnez Gérer pour afficher la liste des règles.
  4. Cliquez sur la règle que vous souhaitez modifier.
  5. Sous Conditions, sélectionnez vos paramètres, puis cliquez sur OK. Pour plus d'informations, consultez la section Choisir un événement et des conditions.
  6. Sous Actions, sélectionnez vos paramètres, puis cliquez sur OK. Pour plus d'informations, consultez la section Choisir une action.
  7. Sélectionnez une option : 
    • Pour enregistrer vos modifications et les appliquer immédiatement, cliquez sur Enregistrer et activer.
    • Si la règle est suspendue et que vous ne voulez pas l'activer tout de suite, cliquez sur Enregistrer

Utiliser les modèles de règles

Des modèles de règles sont mis à votre disposition. Ils sont associés à des conditions et actions prédéfinies que vous pouvez modifier selon les besoins de votre organisation. Par exemple, pour approuver automatiquement tous les appareils iOS, mais pas les appareils Android, utilisez le modèle Approuver automatiquement l'enregistrement des appareils et choisissez le type d'appareil "iOS". 

Bloquer le compte après plusieurs tentatives infructueuses de déverrouillage de l'écran

Bloque un appareil Android lorsque plus de cinq tentatives de déverrouillage ont échoué. Les données d'entreprise ne sont plus synchronisées avec l'appareil. Un e-mail de notification est envoyé aux super-administrateurs.

Effacer les données du compte en cas d'événement suspect

Supprime les données d'entreprise d'un appareil Android ou iOS lorsqu'une activité suspecte est détectée. Sur les appareils iOS, les données du compte sont effacées si l'adresse MAC Wi-Fi de l'appareil est modifiée. 

Sur les appareils Android, les données de l'appareil sont effacées lorsque des modifications sont apportées aux propriétés suivantes de l'appareil :

  • Modèle de l'appareil
  • Numéro de série
  • Adresse MAC Wi-Fi
  • Droit de l'application Device Policy
  • Fabricant
  • Marque de l'appareil
  • Matériel de l'appareil

Si l'appareil appartient à l'entreprise, toutes les données qu'il contient sont effacées, et sa configuration d'usine est rétablie. S'il s'agit d'un appareil personnel disposant d'un profil professionnel, seules les données du profil professionnel sont effacées, pas les données personnelles. 

Un e-mail de notification est envoyé aux super-administrateurs.

Approuver automatiquement l'enregistrement des appareils

Approuve automatiquement tous les appareils Android et iOS lorsqu'ils sont enregistrés en vue d'être gérés. Les données d'entreprise sont synchronisées avec l'appareil dès que l'utilisateur s'y connecte avec son compte. Il n'est pas nécessaire d'attendre l'approbation d'un administrateur. Les administrateurs ne reçoivent pas de notification lorsque des appareils sont approuvés. 

Choisir les utilisateurs concernés par la règle

Une règle peut s'appliquer uniquement aux utilisateurs d'appareils d'une unité organisationnelle spécifique ou d'un groupe Google. Par exemple, vous pouvez approuver automatiquement les appareils enregistrés par les utilisateurs du groupe Gestion. Vous pouvez également exclure de la règle les membres d'un groupe donné. Les options suivantes sont disponibles : 

  • Appliquer à l'unité organisationnelle : la règle s'applique aux utilisateurs de l'organisation que vous avez sélectionnée dans la liste déroulante. 
  • Appliquer au groupe : la règle s'applique aux membres d'un groupe. Saisissez le nom exact du groupe.
  • Exempter le groupe : la règle ne s'applique pas aux utilisateurs du groupe spécifié. Saisissez le nom exact du groupe. La règle s'applique à tous les utilisateurs, à l'exception des membres du groupe spécifié. 

Pour choisir plusieurs organisations ou groupes, cliquez sur Ajouter. Pour supprimer une organisation ou un groupe de la sélection, cliquez sur le signe X situé à côté. Si aucune option n'est sélectionnée, la règle s'applique à tous les utilisateurs concernés de l'organisation racine.

Choisir un événement et des conditions (filtres)

Utilisez les filtres pour sélectionner le type d'appareil (Android, iOS ou tous), l'événement et toutes les conditions qui déclencheront la règle. L'action n'est exécutée que lorsque l'événement se produit sur les appareils répondant aux conditions spécifiées. 

Chaque règle peut être associée à un événement et à plusieurs conditions. Parmi les conditions disponibles : une adresse e-mail complète ou partielle, ou l'ID, le numéro de série ou le modèle d'un appareil. D'autres conditions sont disponibles selon les événements spécifiés. Pour définir plusieurs conditions, cliquez sur Ajouter.

Modification de l'enregistrement du compte

La règle est déclenchée lorsque l'état d'enregistrement du compte associé à un appareil de votre domaine est modifié. Cette situation peut se produire dans les cas suivants :

  • Un utilisateur ajoute son compte professionnel sur un nouvel appareil. 
  • Un utilisateur annule l'enregistrement de son compte professionnel sur un appareil géré.
  • Des modifications ont été apportées au droit de l'application Device Policy sur l'appareil. 

Par défaut, la règle est déclenchée dès qu'un de ces événements est détecté. Pour la déclencher uniquement lorsque des conditions précises sont remplies, utilisez les options suivantes :  

Condition Application de la règle
État du compte

Appareils sur lesquels l'état du compte a été modifié. Sélectionnez une option : 

  • Enregistré sur : la règle s'applique lorsqu'un compte est ajouté sur un appareil.
  • Enregistrement annulé sur : la règle s'applique lorsque l'enregistrement d'un compte est annulé sur un appareil géré. 
Droit de l'application Device Policy

Sélectionnez une option : 

  • Avec droit d'administrateur de l'appareil : la règle s'applique aux appareils personnels dont l'espace personnel est associé à un compte géré.
  • Avec droit de profil professionnel : la règle s'applique aux appareils personnels pour lesquels un profil professionnel a été configuré.
  • Avec droit de propriétaire de l'appareil : la règle s'applique aux appareils configurés comme appartenant à l'organisation. 
Modification d'une application de l'appareil

La règle est déclenchée dès qu'un utilisateur installe, désinstalle ou met à jour une application sur son appareil. Pour les appareils Android personnels non associés à un profil professionnel, le paramètre Contrôle des applications doit être activé. Sur les appareils iOS, seules les modifications apportées aux applications gérées installées avec l'application Google Device Policy sont détectées.

Pour déclencher la règle uniquement lorsque des conditions précises sont remplies, utilisez les options suivantes :

Événement Application de la règle
Identifiant d'application

Appareils sur lesquels l'application spécifiée a été modifiée. Sélectionnez une option : 

  • Contient : saisissez une partie d'un identifiant d'application.
  • Est égal(e) à : saisissez l'identifiant d'application dans son intégralité.
Nouvelle valeur Appareils sur lesquels le numéro de version d'une application a pris la valeur spécifiée. Saisissez le nouveau numéro de version de l'application. Par exemple, 50.0.2645.0.
État de l'application 

Appareils sur lesquels l'état d'une application a pris la valeur que vous avez sélectionnée. Sélectionnez une option :

  • Installée sur
  • Supprimée de
  • Mise à jour sur
Fonction de hachage de l'application Appareils sur lesquels une des applications installées correspond à la fonction de hachage que vous avez spécifiée. Saisissez le hachage SHA-256 du package de l'application.
État de conformité de l'appareil (Android uniquement)

La règle est déclenchée lorsqu'un appareil n'est plus conforme aux règles de l'organisation. Par exemple, lorsqu'un utilisateur change le mot de passe de son appareil et que celui-ci est contraire aux règles relatives aux mots de passe de votre organisation. Pour plus d'informations, reportez-vous à la section État de conformité de l'appareil.

Pour déclencher la règle uniquement lorsque des conditions précises sont remplies, utilisez les options suivantes :

Condition Application de la règle
État de conformité de l'appareil

Appareils dont l'état de conformité a changé. Sélectionnez une option :  

  • Conforme aux règles définies : la règle est appliquée dès qu'un appareil devient conforme aux règles de votre organisation. 
  • Non conforme aux règles définies, car il : cliquez sur Ajouter, puis définissez la condition "Motif de désactivation de l'appareil mobile".
Motif de désactivation de l'appareil mobile  Appareils qui ne sont plus conformes aux règles de votre organisation pour le motif spécifié. Vous pouvez sélectionner l'un des motifs suivants :
 
  • Ne respecte pas la règle relative au mot de passe
  • N'est pas chiffré
  • Utilise une ancienne version de l'application Device Policy
  • Est compromis
  • Utilise l'appareil photo
  • Utilise des widgets d'écran de verrouillage
  • N'est associé à aucun profil professionnel
  • N'est pas en mode propriétaire de l'appareil
  • A été bloqué par l'administrateur
  • N'utilise pas la synchronisation
  • N'utilise pas l'application Device Policy
  • Non synchronisé au cours des dernières 24 heures
Appareil compromis (Android uniquement)

La règle s'applique aux appareils Android qui ont été piratés ou dont la sécurité n'est plus compromise. La sécurité d'un appareil Android est compromise lorsque ce dernier est passé en mode root, un processus qui élimine les restrictions appliquées à un appareil. Un appareil compromis peut constituer une menace de sécurité potentielle. 

Pour déclencher la règle uniquement lorsque des conditions précises sont remplies, utilisez l'option suivante :

Condition Application de la règle
Sécurité de l'appareil

Appareils dont l'état de sécurité a changé. Sélectionnez une option : 

  • Est compromis : la règle s'applique aux appareils dont la sécurité est compromise. 
  • N'est plus compromis : la règle s'applique aux appareils dont la sécurité n'est plus compromise.  
Mise à jour de l'OS de l'appareil

La règle est déclenchée lorsque des modifications sont apportées aux propriétés du système d'exploitation d'un appareil. Sur les appareils Android, il s'agit par exemple de la version du système d'exploitation, du numéro de build, de la version du noyau, de la version de bande de base, du correctif de sécurité ou de la version du bootloader. Sur les appareils iOS, seules sont concernées les mises à jour de la version du système d'exploitation et du numéro de build (lorsqu'un utilisateur met à jour le système d'exploitation de son appareil ou applique le tout dernier correctif de sécurité, par exemple).

Pour déclencher la règle uniquement lorsque des conditions précises sont remplies, utilisez les options suivantes :

Condition Application de la règle
Ancienne valeur Appareils sur lesquels l'une des propriétés du système d'exploitation ne correspond plus à la valeur que vous avez spécifiée.      
Nouvelle valeur Appareils sur lesquels l'une des propriétés du système d'exploitation a pris la valeur que vous avez spécifiée.
Propriété OS

Appareils sur lesquels la propriété de système d'exploitation que vous avez sélectionnée a été modifiée. Sélectionnez l'une des propriétés OS suivantes : 

  • Version d'OS
  • Numéro de build
  • Version de noyau
  • Version de bande de base de l'appareil
  • Correctif de sécurité du système
  • Version du bootloader

Sur les appareils iOS, seuls la version du système d'exploitation et le numéro de build sont disponibles. 

Propriété de l'appareil (Android uniquement)

La règle est déclenchée lorsque la propriété d'un appareil passe du statut "Personnel" à "Détenu par l'entreprise", ou vice-versa.

Pour déclencher la règle uniquement lorsque des conditions précises sont remplies, utilisez l'option suivante :

Condition Application de la règle
Propriété de l'appareil

Appareils dont la propriété a été modifiée. Sélectionnez une option : 

  • Détenu par l'entreprise : la règle s'applique aux appareils qui sont désormais propriété de l'entreprise. 
  • Personnel : la règle s'applique aux appareils dont la propriété a pris le statut "Personnel". 
Modification des paramètres de l'appareil (Android uniquement)

La règle est déclenchée lorsque des modifications sont apportées aux paramètres d'un appareil Android. Exemples de paramètres concernés : "Débogage USB", "Sources inconnues", "Options pour les développeurs" ou "Vérifier les applications".  

Pour déclencher la règle uniquement lorsque des paramètres donnés sont modifiés, utilisez les options suivantes :

Condition Application de la règle
Ancienne valeur Appareils dont l'un des paramètres ne correspond plus à la valeur que vous avez spécifiée.
Nouvelle valeur Appareils dont l'un des paramètres a pris la valeur que vous avez spécifiée.
Paramètre de l'appareil Appareils dont le paramètre sélectionné a été modifié. Sélectionnez l'un des paramètres suivants : 
  • Options pour les développeurs
  • Sources inconnues
  • Débogage USB
  • Vérifier les applications 
Tentatives de déverrouillage de l'écran infructueuses (Android uniquement)

La règle s'applique à un appareil dès lors que des tentatives de déverrouillage de son écran échouent. Par défaut, la règle est déclenchée lorsqu'il y a plus de cinq tentatives infructueuses.

Pour modifier le nombre de tentatives infructueuses à partir duquel la règle est déclenchée, utilisez cette option :

Condition Application de la règle
Tentatives de déverrouillage de l'écran infructueuses

Appareils sur lesquels des tentatives de déverrouillage infructueuses ont été détectées. Choisissez une option et indiquez combien de saisies doivent être tentées avant que la règle ne se déclenche :

  • > (supérieur à)
  • >= (supérieur ou égal à)
Activité suspecte

La règle est déclenchée dès qu'une activité suspecte est détectée sur des appareils mobiles gérés de votre domaine. Par exemple, lorsque le modèle d'un appareil a changé alors que l'appareil lui-même n'a pas été remplacé. 

Sur les appareils Android, sont détectées les modifications apportées aux propriétés suivantes : 

  • Modèle de l'appareil
  • Numéro de série
  • Adresse MAC Wi-Fi
  • Droit de l'application Device Policy
  • Fabricant
  • Marque de l'appareil
  • Matériel de l'appareil
  • Version du bootloader

Sur les appareils iOS, seules les modifications apportées à l'adresse MAC Wi-Fi sont détectées.

Pour déclencher la règle uniquement lorsque des conditions précises sont remplies, utilisez les options suivantes :

Condition Application de la règle
Propriété de l'appareil

Appareils sur lesquels des modifications ont été apportées aux propriétés que vous avez sélectionnées. Sélectionnez une propriété dans la liste. Pour en sélectionner plusieurs, cliquez sur "Ajouter" et sélectionnez une autre propriété. 

Remarque : Sur les appareils iOS, seules les modifications apportées à l'adresse MAC Wi-Fi sont détectées.

Ancienne valeur Appareils dont l'une des propriétés ne correspond plus à la valeur que vous avez spécifiée.
Nouvelle valeur Appareils dont l'une des propriétés a pris la valeur que vous avez spécifiée.
Compatibilité du profil professionnel (Android uniquement)

La règle est déclenchée dès qu'un appareil Android devient compatible avec les profils professionnels. Par exemple, lorsque la version du système d'exploitation est mise à jour et que les profils professionnels peuvent désormais être configurés sur l'appareil.

Choisir une action 

Une action correspond à la tâche qu'exécute une règle lorsqu'un événement est détecté. Vous pouvez envoyer une notification par e-mail aux super-administrateurs, bloquer ou approuver un appareil, ou effacer les données du compte professionnel sur un appareil. Si aucune action n'a été configurée, les appareils pour lesquels une règle a été déclenchée sont consignés dans le journal d'audit des règles. Pour plus d'informations, reportez-vous à la section Afficher les données relatives aux événements détectés.

Choisissez l'une des actions suivantes : 

  • Envoyer un e-mail aux super-administrateurs : envoie un e-mail aux super-administrateurs pour les informer de la survenue d'un événement sur un appareil mobile géré. Le nombre d'envois est limité à 25 e-mails toutes les deux heures.
  • Bloquer l'appareil mobile : interrompt la synchronisation des données d'entreprise avec l'appareil. 
  • Approuver l'appareil mobile : autorise la synchronisation des données d'entreprise avec l'appareil. 
  • Effacer les données du compte professionnel de l'appareil : efface de l'appareil le compte professionnel de l'utilisateur ainsi que les données associées.

Afficher les données relatives aux événements détectés

Le journal d'audit des règles vous permet de consulter les données relatives aux événements qui ont été détectés sur les appareils mobiles. 

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Règles.

    Pour afficher l'option "Règles", vous devrez peut-être cliquer sur Autres commandes au bas de la page. 

  3. En haut de la page, cliquez sur Audit.
  4. (Facultatif) Pour modifier les critères qui s'affichent, cliquez sur Sélectionner des colonnes Sélectionner des colonnes. Vos modifications sont automatiquement enregistrées et visibles lors de la connexion suivante.
  5. Pour configurer le tableau de façon à afficher uniquement certains éléments, utilisez la section Filtres située à gauche :
    • Nom de la règle : événement qui a été détecté.
    • Nom de l'élément signalé : nom de l'appareil sur lequel l'événement a été détecté.
    • Identifiant de l'élément signalé : identifiant de l'appareil concerné.
    • Propriétaire de l'élément : adresse e-mail de l'utilisateur de l'appareil enregistré sur lequel l'événement a été détecté.
    • Plage de dates et d'heures : dates et heures de début et de fin associées aux événements consignés. Chaque entrée du journal est associée à un seul événement.
  6. (Facultatif) Pour exporter les données du rapport vers un fichier Google Sheets dans Drive ou pour les télécharger sous la forme d'un fichier CSV, cliquez sur Télécharger Télécharger. Le fichier Sheets exporté et le fichier CSV téléchargé peuvent tous deux contenir un maximum de 200 000 cellules. Le nombre maximal de lignes dépend du nombre de colonnes que vous avez sélectionnées.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?