Gérer les politiques de mots de passe avec TinyMDM

Comment gérer la politique de mots de passe ?

Les mots de passe assurent la protection des données présentes sur l’appareil, leur renforcement est donc essentiel. Avec TinyMDM, vous pouvez forcer la mise en place de mots de passe sur les appareils, voire modifier ou supprimer à distance le mot de passe en cas de besoin.

A. Définir le type de mot de passe

1. De l’écran d’accueil de l’appareil (compatible avec tous les modes de gestion)

Pour cela, connectez-vous à votre compte TinyMDM et ouvrez l’onglet Politiques de sécurité. Puis créez une nouvelle politique via le bouton Créer une nouvelle politique de sécurité ou modifiez une politique existante via le bouton Modifier.

Une fois la politique ouverte, allez dans le menu Politique de sécurité de l’appareil. Pour définir un mot de passe permettant de déverrouiller l’écran d’accueil de l’appareil, concentrez-vous sur le premier bloc:

Parmi les options de paramétrage du mot de passe, vous pouvez:

1. Définir le type de mot de passe

  • Sur les appareils ayant une version Android 11 ou –, vous pouvez choisir parmi les options suivantes:
    • Mot de passe sécurisé: l’utilisateur devra choisir un mot de passe sécurisé (lettres, chiffres et caractères spéciaux) respectant la taille minimale requise.
    • N’importe quel mot de passe, schéma ou code PIN: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
    • Mot de passe ou code PIN: l’utilisateur pourra choisir entre un mot de passe ou un code PIN, tant que celui-ci respecte la taille minimale requise.
    • Mot de passe ou code PIN complexe: l’utilisateur pourra choisir entre un mot de passe ou un code PIN complexe (non répétitif ou ordonné) respectant la taille minimale requise.
    • Mot de passe: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
    • Mot de passe complexe: l’utilisateur devra choisir un mot de passe complexe (lettre et numérique) respectant la taille minimale requise.
  • Sur les appareils ayant une version Android 12 ou +, vous pouvez choisir parmi les options suivantes:
    • Faible: schéma ou PIN d’au moins 4 caractères pouvant être ordonnés ou répétitifs
    • Moyenne: PIN d’au moins 4 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 4 caractères (alphabétique ou alphanumérique)
    • Haute: PIN d’au moins 8 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 6 caractères (alphabétique ou alphanumérique)

2. Choisir la taille minimale du mot de passe (uniquement pour les versions Android 11 et –):

  • Aucune taille minimale requise: l’utilisateur pourra choisir lui même la taille de son mot de passe (non recommandé)
  • Taille minimum: l’utilisateur devra choisir un mot de passe respectant une taille minimale de 6, 8, 10, 12, 14, ou 16 caractères.

3. Désactiver l’authentification par empreinte digitale

4. Désactiver l’authentification par reconnaissance faciale

5. Définir un nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil, en mode 100% managé, mode kiosque ou mode WPCO. Si l’appareil est en mode profil de travail (BYOD), cela supprimera le profil de travail uniquement mais ne réinitialisera pas l’appareil.

6. Définir un délai d’expiration du mot de passe avant renouvellement

7. Définir le nombre de fois avant qu’un ancien mot de passe puisse être réutilisé. Exemple: si vous mettez la limite sur 10, vous ne pourrez pas réutiliser ce mot de passe avant le dixième changement de mot de passe.

2. Du profil de travail de l’appareil (compatible avec les modes WPCO et BYOD)

Prérequis: l’appareil doit être enrôlé en mode BYOD ou WPCO puisqu’il doit comporter un profil de travail.

Pour cela, connectez-vous à votre compte TinyMDM et ouvrez l’onglet Politiques de sécurité. Créez une nouvelle politique via le bouton Créer une nouvelle politique de sécurité ou modifiez une politique existante via le bouton Modifier.

Une fois la politique ouverte, allez dans le menu Politique de sécurité de l’appareil. Pour définir un mot de passe pour le profil de travail, concentrez-vous sur le second bloc:

Parmi les options de paramétrage du mot de passe du profil de travail, vous pouvez:

1. Définir le type de mot de passe pour accéder au profil de travail:

  • Sur les versions Android 11 et –, vous pouvez choisir parmi les options suivantes:
    • Mot de passe sécurisé: l’utilisateur devra choisir un mot de passe sécurisé (lettres, chiffres et caractères spéciaux) respectant la taille minimale requise.
    • N’importe quel mot de passe, schéma ou code PIN: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
    • Mot de passe ou code PIN: l’utilisateur pourra choisir entre un mot de passe ou un code PIN, tant que celui-ci respecte la taille minimale requise.
    • Mot de passe ou code PIN complexe: l’utilisateur pourra choisir entre un mot de passe ou un code PIN complexe (non répétitif ou ordonné) respectant la taille minimale requise.
    • Mot de passe: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
    • Mot de passe complexe: l’utilisateur devra choisir un mot de passe complexe (lettre et numérique) respectant la taille minimale requise.
  • Sur les versions Android 12 et +, vous pouvez choisir parmi les options suivantes:
    • Faible: schéma ou PIN d’au moins 4 caractères pouvant être ordonnés ou répétitifs
    • Moyenne: PIN d’au moins 4 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 4 caractères (alphabétique ou alphanumérique)
    • Haute: PIN d’au moins 8 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 6 caractères (alphabétique ou alphanumérique)

2. Choisir la taille minimale du mot de passe (uniquement pour les versions Android 11 et –):

  • Aucune taille minimale requise: l’utilisateur pourra choisir lui même la taille de son mot de passe (non recommandé)
  • Taille minimum: l’utilisateur devra choisir un mot de passe respectant une taille minimale de 6, 8, 10, 12, 14, ou 16 caractères.

3. Désactiver l’authentification par empreinte digitale

4. Désactiver l’authentification par reconnaissance faciale

5. Définir un nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil, en mode WPCO. Si l’appareil est en mode profil de travail (BYOD), cela supprimera le profil de travail uniquement mais ne réinitialisera pas l’appareil.

6. Définir un délai d’expiration du mot de passe avant renouvellement

7. Définir le nombre de fois avant qu’un ancien mot de passe puisse être réutilisé. Exemple: si vous mettez la limite sur 10, vous ne pourrez pas réutiliser ce mot de passe avant le dixième changement de mot de passe.

Pour info: sur les appareils configurés en mode BYOD ou WPCO, il existe une fonctionnalité appelée “Utilisation d’un verrouillage“. Cette option permet de déverrouiller à la fois le Profil de Travail et l’écran de l’appareil en une seule action via un mot de passe unique, à condition que le mot de passe de déverrouillage de l’écran respecte le niveau de complexité requis pour le profil de travail. En fonction du modèle des appareils, l’accès à cette fonctionnalité peut différer:

  • Allez dans les paramètres puis dans le menu Sécurité
  • Puis cliquez sur Profil professionnel et activez l’option Utilisation d’un verrouillage.
  • Assurez-vous que le mot de passe de votre appareil corresponde au niveau de complexité demandé.

Si vous faites une demande de changement ou de suppression de mot de passe depuis TinyMDM:

  • en mode WPCO, seul le mot de passe du profil de travail sera modifié ou supprimé.
  • en mode BYOD, il n’est pas possible de modifier ou supprimer le mot de passe à distance.

B. Modifier le mot de passe

1. En mode 100% Managé ou Mode Kiosque

En mode 100% Managé ou en Mode Kiosque, il est possible de modifier le mot de passe à distance en cas de besoin à partir du moment où l’appareil est bien connecté à internet. Pour cela:

  • Rendez-vous dans l’onglet Appareils et cliquez sur le menu  disponible sur la carte de l’appareil
  • Cliquez ensuite sur Changer le mot de passe et rentrez un mot de passe temporaire pour déverrouiller l’appareil

2. En mode WPCO

En mode WPCO, il est possible de modifier à distance le mot de passe du profil professionnel, à partir du moment où l’appareil est connecté à internet. Pour cela:

  • Rendez-vous dans l’onglet Appareils et cliquez sur le menu  disponible sur la carte de l’appareil
  • Cliquez ensuite sur Changer le mot de passe et rentrez un mot de passe permettant de déverrouiller le profil professionnel

Le mot de passe de déverrouillage ne changera pas, cependant celui permettant d’accéder au Profil professionnel sera modifié.

En mode BYOD, puisque cela touche directement aux réglages de l’appareil, il n’est pas possible de modifier à distance le mot de passe renseigné.

C. Supprimer le mot de passe

1. En mode 100% Managé ou Mode Kiosque

En mode 100% Managé ou en Mode Kiosque, il est possible de supprimer un mot de passe à distance en cas de besoin, à partir du moment où l’appareil est bien connecté à internet. Pour cela:

  • Rendez-vous dans l’onglet Appareils et cliquez sur le menu  disponible sur la carte de l’appareil
  • Cliquez ensuite sur Supprimer le mot de passe. Une pop-up de confirmation apparaît, cliquez sur Ok pour confirmer votre demande. Si la politique de mot de passe est toujours appliquée sur l’appareil, l’utilisateur recevra alors une pop-up pour modifier son mot de passe conformément à la politique de mot de passe.

Si le suppression du mot de passe n’est pas immédiate, n’hésitez pas à simplement redémarrer l’appareil afin que la demande de suppression soit relancée sur l’appareil.

2. En mode WPCO

En mode WPCO, il est possible de supprimer à distance le mot de passe du profil professionnel, à partir du moment où l’appareil est bien connecté à internet. Pour cela:

  1. Rendez-vous dans l’onglet Appareils et cliquez sur le menu  disponible sur la carte de l’appareil
  2. Cliquez ensuite sur Supprimer le mot de passe. Une pop-up de confirmation apparaît, cliquez sur Ok pour confirmer votre demande.

Si le suppression du mot de passe n’est pas immédiate, n’hésitez pas à simplement redémarrer l’appareil afin que la demande de suppression soit relancée sur l’appareil.

Si la politique de mot de passe est toujours appliquée sur l’appareil, alors le profil professionnel va se verrouiller jusqu’à ce qu’un nouveau mot de passe soit renseigné. Rendez-vous dans le centre de notifications de l’appareil pour changer de mot de passe.

En mode BYOD, puisque cela touche directement aux réglages de l’appareil, il n’est pas possible de supprimer à distance le mot de passe renseigné.

D. En cas de non-conformité du mot de passe

1. En mode 100% Managé ou Mode Kiosque

Si le mot de passe de déverrouillage de l’appareil n’est pas conforme avec la politique de mot de passe configurée dans la politique de sécurité, une pop-up de modification du mot de passe apparaîtra alors sur l’appareil.

2. En mode WPCO

En mode WPCO, si le mot de passe de déverrouillage ou celui du profil de travail n’est pas conforme avec la politique de mot de passe configurée dans la politique de sécurité, le profil de travail sera temporairement inaccessible. Il faudra alors ouvrir le centre de notifications de l’appareil et cliquez sur la notification ‘Le profil de travail est verrouillé’. Vous pourrez alors modifier votre mot de passe et retrouver l’accès au profil de travail.

3. En mode BYOD

En mode BYOD, si le mot de passe du profil de travail n’est pas conforme avec la politique de mot de passe configurée dans la politique de sécurité, le profil de travail sera temporairement inaccessible. Il faudra alors ouvrir le centre de notifications de l’appareil et cliquez sur la notification ‘Le profil de travail est verrouillé’. Vous pourrez alors modifier votre mot de passe et retrouver l’accès au profil de travail.