Comment activer ou désactiver la protection FRP

Comment activer ou désactiver la vérification de compte Google après réinitialisation (FRP) ?

ATTENTION : Pour les versions TinyMDM 3.04770 à 3.04790, la désactivation de la protection Google contre la réinitialisation (FRP) est actuellement indisponible. Afin d’éviter tout blocage de l’appareil après une réinitialisation usine, veuillez d’abord mettre à jour TinyMDM ou supprimer tout compte Google de l’appareil avant de procéder à la réinitialisation.

Qu’est-ce que le “FRP” ? La Factory Reset Protection est une méthode de sécurité Google conçue pour empêcher l’utilisation d’un périphérique par quelqu’un d’autre que son propriétaire après une réinitialisation aux paramètres d’usine. Si l’option FRP est activée et l’appareil est réinitialisé aux réglages d’usine, ce dernier se retrouve bloqué sur le compte Google configuré en premier lieu. Bien qu’elle soit très utile en cas de perte ou de vol, cette option peut poser problème dans certaines situations, et en particulier au sein des entreprises: si un employé connecté avec son compte Google sur l’appareil quittait l’organisation, celui-ci deviendrait inutilisable après réinitialisation. C’est pourquoi via TinyMDM, il est possible de préconfigurer un compte Google pour le FRP. Cela signifie que si la protection FRP est activée suite à une réinitialisation d’usine, l’appareil pourra être débloqué grâce au compte Google renseigné via le logiciel.

Pour information : Le FRP ne s’active pas si l’appareil est réinitialisé depuis les paramètres. Cela s’explique par le fait que cette méthode de réinitialisation est considérée comme “sécurisée” par Android, car l’utilisateur effectue cette action en ayant accès à l’appareil.

A. Quel est le comportement par défaut de la protection FRP ?

Lorsqu’une politique de sécurité est créée, la fonctionnalité intitulée “Activer la protection Google contre la réinitialisation (FRP)” dans le sous-onglet Contrôles généraux de l’appareil est automatiquement activée.

Dans son état par défaut, cette protection reste relativement inefficace SAUF si votre politique de sécurité autorise les utilisateurs à se connecter à un compte Google. Dans ce cas, si un appareil est réinitialisé et qu’un utilisateur y a associé son compte Google, l’accès sera bloqué après la réinitialisation et les identifiants devront être saisis pour déverrouiller l’appareil. Pour prévenir cette situation, vous pouvez cocher l’option “Empêcher l’ajout et la suppression d’un compte Google ou autre sur les appareils” dans votre politique de sécurité:

La bonne pratique pour que la protection FRP remplisse pleinement son rôle et empêche tout accès non autorisé à l’appareil après une réinitialisation est de le connecter à un compte Google professionnel et non personnel depuis la console, car cela facilitera la récupération des accès si nécessaire.

B. Comment activer la protection FRP de manière efficace ?

1. Activer la fonctionnalité à partir de la politique de sécurité si elle a été désactivée

Depuis votre console TinyMDM:

  • Rendez-vous dans l’onglet Politiques de sécurité et cliquez sur Modifier pour modifier la politique de votre choix
  • Sous Contrôles généraux de l’appareil, cochez “Activer la protection Google contre la réinitialisation (FRP)”

2. Ajouter le compte Google

  • Cliquez ensuite sur Ajouter un compte FRP. Une pop-up informative apparaît alors pour vous expliquer le principe d’ajout d’un compte FRP.
  • Cochez les deux blocs d’information et validez le tout en cliquant sur “Ajouter un compte FRP”.
  • Vous êtes ensuite basculé sur la page de connexion de Google pour sélectionner un compte google existant ou en créer un nouveau
  • Une fois le compte Google sélectionné, vous êtes redirigé dans votre politique de sécurité TinyMDM et le compte Google renseigné est visible sous “Activer la protection Google contre la réinitialisation (FRP)”.

C. Comment cela se matérialise sur l’appareil ?

1. Appareil bloqué sans accès au compte Google

Lorsque l’appareil a été réinitialisé, la protection Google contre la réinitialisation (FRP) entre en action. Au moment redémarrage, un message s’affiche à l’écran demandant de “saisir une adresse e-mail ou un numéro de téléphone” associé au compte Google précédemment enregistré dans la politique de sécurité TinyMDM.

Si l’administrateur actuel ne dispose pas des identifiants de connexion, l’accès à l’appareil est totalement bloqué. Il ne pourra ni configurer ni utiliser l’appareil, à moins de contacter la personne ayant initialement renseigné son compte Google. Cela peut poser des difficultés, notamment si le salarié concerné a quitté l’entreprise et que ses informations de connexion ne sont plus accessibles. Dans ce cas, il peut être complexe, voire impossible, de récupérer l’accès à l’appareil.

2. Déblocage de l’appareil avec les identifiants Google

Si l’administrateur possède bien les identifiants du compte Google enregistré avant la réinitialisation, il pourra facilement débloquer l’appareil. Après avoir saisi l’adresse e-mail et le mot de passe du compte Google renseigné dans la politique de sécurité au moment de l’activation de la protection FRP, l’appareil procèdera à la vérification des informations. Une fois cette étape validée, l’utilisateur pourra poursuivre la configuration de l’appareil normalement et retrouver un usage complet du dispositif.

En cas d’oubli, vous pouvez retrouver le compte Google à utiliser pour débloquer l’appareil dans la politique :

D. Comment désactiver la protection FRP ?

Via TinyMDM, vous pouvez désactiver de manière sécurisée l’option FRP sur tous vos périphériques en mode 100% managé ou en mode kiosque, afin qu’il soit possible d’ignorer l’étape de vérification du compte Google en cas de réinitialisation aux réglages d’usine. Il est recommandé de cocher cette option pour les appareils sous Android 10 et moins, puisqu’il n’est pas possible sous ces versions, de préconfigurer de compte Google pour le FRP.

  • Rendez-vous dans l’onglet Politiques de sécurité et cliquez sur Modifier pour modifier la politique de votre choix
  • Sous Contrôles généraux de l’appareil, cochez la case Désactiver le FRP
  • Lorsque cette option est cochée, l’étape de vérification du compte Google après une réinitialisation d’usine est ignorée

IMPORTANT : L’utilisation de la protection FRP peut différer selon les cas : par exemple, si vos utilisateurs doivent impérativement se connecter à leur compte Google, ou si vous gérez une flotte d’appareils mixtes comprenant des terminaux sous Android 10 (incompatible avec le FRP) ainsi que d’autres sous Android 11 et versions ultérieures. Pour en savoir plus et bénéficier d’un accompagnement personnalisé, n’hésitez pas à contacter l’équipe du support technique de TinyMDM via l’onglet Support de votre console d’administration.