Gestion des mots de passe

Comment gérer la politique de mots de passe ?

Les mots de passe assurent la protection des données présentes sur l’appareil, leur renforcement est donc essentiel. Avec TinyMDM, vous pouvez forcer la mise en place de mots de passe sur les appareils, voire modifier ou supprimer à distance le mot de passe en cas de besoin.

A. Définir le type de mot de passe

1. De l’écran d’accueil de l’appareil (compatible avec tous les modes de gestion)

Pour cela, connectez-vous à votre compte TinyMDM et ouvrez l’onglet Politiques de sécurité. Puis créez une nouvelle politique via le bouton Créer une nouvelle politique de sécurité ou modifiez une politique existante via le bouton Modifier.

Une fois la politique ouverte, allez dans le menu Politique de sécurité de l’appareil. Pour définir un mode de passe permettant de déverrouiller l’écran d’accueil de l’appareil, concentrez-vous sur le premier bloc:

Parmi les options de paramétrage du mot de passe, vous pouvez:

1. Définir le type de mot de passe

Sur les versions Android 11 et –, vous pouvez choisir parmi les options suivantes:
- Mot de passe sécurisé: l’utilisateur devra choisir un mot de passe sécurisé (lettres, chiffres et caractères spéciaux) respectant la taille minimale requise.
- N’importe quel mot de passe, schéma ou code PIN: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
- Mot de passe ou code PIN: l’utilisateur pourra choisir entre un mot de passe ou un code PIN, tant que celui-ci respecte la taille minimale requise.
- Mot de passe ou code PIN complexe: l’utilisateur pourra choisir entre un mot de passe ou un code PIN complexe (non répétitif ou ordonné) respectant la taille minimale requise.
- Mot de passe: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
- Mot de passe complexe: l’utilisateur devra choisir un mot de passe complexe (lettre et numérique) respectant la taille minimale requise.

Sur les versions Android 12 et +, vous pouvez choisir parmi les options suivantes:
- Faible: schéma ou PIN d’au moins 4 caractères pouvant être ordonnés ou répétitif
- Moyenne: PIN d’au moins 4 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 4 caractères (alphabétique ou alphanumérique)
- Haute: PIN d’au moins 8 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 6 caractères (alphabétique ou alphanumérique)

2. Choisir la taille minimale du mot de passe (uniquement pour les versions Android 11 et –):

Aucune taille minimale requise: l’utilisateur pourra choisir lui même la taille de son mot de passe (non recommandé)
Taille minimum: l’utilisateur devra choisir un mot de passe respectant une taille minimale de 6, 8, 10, 12, 14, ou 16 caractères.

3. Désactiver l’authentification par empreinte digitale

4. Désactiver l’authentification par reconnaissance faciale

5. Définir un nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil

6. Définir un délai d’expiration du mot de passe avant renouvellement

7. Définir le nombre de fois avant qu’un ancien mot de passe puisse être réutilisé. Exemple: si vous mettez la limite sur 10, vous ne pourrez pas réutiliser ce mot de passe avant le dixième changement de mot de passe.

2. Du profil de travail de l’appareil (compatible avec les modes WPCO et BYOD)

Prérequis: l’appareil doit être enrôlé en mode BYOD ou WPCO puisqu’il doit comporter un profil de travail.

Pour cela, connectez-vous à votre compte TinyMDM et ouvrez l’onglet Politiques de sécurité. Créez une nouvelle politique via le bouton Créer une nouvelle politique de sécurité ou modifiez une politique existante via le bouton Modifier.

Parmi les options de paramétrage du mot de passe du profil de travail, vous pouvez:

1. Définir le type de mot de passe pour accéder au profil de travail:

Sur les versions Android 11 et –, vous pouvez choisir parmi les options suivantes:
- Mot de passe sécurisé: l’utilisateur devra choisir un mot de passe sécurisé (lettres, chiffres et caractères spéciaux) respectant la taille minimale requise.
- N’importe quel mot de passe, schéma ou code PIN: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
- Mot de passe ou code PIN: l’utilisateur pourra choisir entre un mot de passe ou un code PIN, tant que celui-ci respecte la taille minimale requise.
- Mot de passe ou code PIN complexe: l’utilisateur pourra choisir entre un mot de passe ou un code PIN complexe (non répétitif ou ordonné) respectant la taille minimale requise.
- Mot de passe: l’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
- Mot de passe complexe: l’utilisateur devra choisir un mot de passe complexe (lettre et numérique) respectant la taille minimale requise.

Sur les versions Android 12 et +, vous pouvez choisir parmi les options suivantes:
- Faible: schéma ou PIN d’au moins 4 caractères pouvant être ordonnés ou répétitif
- Moyenne: PIN d’au moins 4 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 4 caractères (alphabétique ou alphanumérique)
- Haute: PIN d’au moins 8 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 6 caractères (alphabétique ou alphanumérique)

2. Choisir la taille minimale du mot de passe (uniquement pour les versions Android 11 et –):

Aucune taille minimale requise: l’utilisateur pourra choisir lui même la taille de son mot de passe (non recommandé)
Taille minimum: l’utilisateur devra choisir un mot de passe respectant une taille minimale de 6, 8, 10, 12, 14, ou 16 caractères.

3. Désactiver l’authentification par empreinte digitale

4. Désactiver l’authentification par reconnaissance faciale

5. Définir un nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil

6. Définir un délai d’expiration du mot de passe avant renouvellement

7. Définir le nombre de fois avant qu’un ancien mot de passe puisse être réutilisé. Exemple: si vous mettez la limite sur 10, vous ne pourrez pas réutiliser ce mot de passe avant le dixième changement de mot de passe.

Pour info: sur les appareils configurés en mode BYOD ou WPCO, il existe une fonctionnalité appelée “Profil professionnel“. Cette option permet de déverrouiller à la fois le Profil de Travail et l’écran de l’appareil en une seule action via un mot de passe unique, à condition que le mot de passe de déverrouillage de l’écran respecte le niveau de complexité requis pour le déverrouillage du profil de travail. En fonction du modèle des appareils, l’accès à cette fonctionnalité peut différer:

Allez dans les paramètres puis dans le menu Sécurité
Puis cliquez sur Profil professionnel et activez l’option Utilisation d’un verrouillage.
Assurez-vous que le mot de passe de votre appareil corresponde au niveau de complexité demandé.

Si vous faites une demande de changement ou de suppression du mot de passe depuis TinyMDM (Etapes B et C de ce tutoriel), seul le mot de passe du Profil professionnel prendra en compte la modification.

B. Modifier le mot de passe

1. En mode 100% Managé ou Mode Kiosque

En mode 100% Managé ou en Mode Kiosque, il est possible de modifier un mot de passe à distance en cas de besoin. Pour cela, il faut qu’une politique de mots de passe ai été mise en place au préalable dans la politique de sécurité (en suivant les étapes précédentes), puis au moment voulu:

Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
Cliquez ensuite sur Changer le mot de passe et rentrez un mot de passe temporaire pour déverrouiller l’appareil:

2. En mode WPCO

En mode WPCO, il est possible de modifier à distance le mot de passe de déverrouillage du profil professionnel. Pour cela, il faut qu’une politique de mot de passe ai été mise en place au préalable dans la politique de sécurité, puis au moment voulu:

Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
Cliquez ensuite sur Changer le mot de passe et rentrez un mot de passe permettant de déverrouiller le profil professionnel

Le mot de passe de déverrouillage ne changera pas, cependant celui permettant d’accéder au Profil professionnel sera modifié.

3. En mode BYOD (Profil de Travail)

En mode BYOD, puisque cela touche directement aux réglages de l’appareil, il n’est pas possible de modifier à distance le mot de passe renseigné.

C. Supprimer le mot de passe

1. En mode 100% Managé ou Mode Kiosque

En mode 100% Managé ou en Mode Kiosque, il est possible de supprimer un mot de passe à distance en cas de besoin. Pour cela, il faut qu’une politique de mots de passe ai été mise en place au préalable dans la politique de sécurité (en suivant les étapes précédentes), puis au moment voulu:

Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
Cliquez ensuite sur Supprimer le mot de passe. Une pop-up de confirmation apparaît, cliquez sur Ok pour confirmer votre demande. Si la politique de mot de passe est toujours appliquée sur son appareil, l’utilisateur recevra alors une pop-up pour modifier son mot de passe conformément à la politique de mot de passe.

2. En mode WPCO

En mode WPCO, il est possible de supprimer à distance le mot de passe de déverrouillage du profil professionnel. Pour cela, il faut qu’une politique de mot de passe ai été mise en place au préalable dans la politique de sécurité puis au moment voulu:

Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
Cliquez ensuite sur Supprimer le mot de passe. Une pop-up de confirmation apparaît, cliquez sur Ok pour confirmer votre demande. Si la politique de mot de passe est toujours appliquée sur son appareil, l’utilisateur recevra alors une pop-up pour modifier son mot de passe conformément à la politique de mot de passe.

3. En mode BYOD (Profil de Travail)

En mode BYOD, puisque cela touche directement aux réglages de l’appareil, il n’est pas possible de supprimer à distance le mot de passe renseigné.