Comment gérer la politique de mots de passe ?
Les mots de passe assurent la protection des données présentes sur l’appareil, leur renforcement est donc essentiel. Avec TinyMDM, vous pouvez forcer la mise en place de mots de passe sur les appareils, voir modifier ou supprimer à distance le mot de passe en cas de besoin.
A. Définir le type de mot de passe
Connectez-vous à votre compte TinyMDM puis:
- Ouvrez l’onglet Politiques de sécurité. Créez une nouvelle politique (via le bouton Créer une nouvelle politique de sécurité) ou modifiez une politique existante (via le bouton Modifier).
- Une fois la politique ouverte, allez dans le sous-onglet Politique de sécurité de l’appareil sur lequel se trouve deux rangées distinctes:
- La première concerne toutes les options liées au déverrouillage de l’écran de l’appareil.
- La seconde concerne toutes les options liées au déverrouillage du profil de travail (ou profil professionnel). Cela s’applique uniquement aux appareils en BYOD ou WPCO.
Important: Android va prochainement déprécier la possibilité de définir un type de mot de passe et sa taille minimale pour les versions Android 12 et +. Il sera toujours possible de choisir un mot de passe plus ou moins sécurisé, seulement les options seront différentes et il ne sera plus possible de choisir la taille minimale de ce mot de passe. Ce changement s’effectuera dans les prochains mois sur TinyMDM.
Parmi les nouvelles options sur TinyMDM, vous pourrez définir un type de mot de passe avec une complexité:
- Faible: Schéma ou PIN d’au moins 4 caractères pouvant être ordonnés ou répétitif
- Moyenne: PIN d’au moins 4 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 4 caractères (alphabétique ou alphanumérique)
- Haute: PIN d’au moins 8 caractères non ordonnés et non répétitifs ou mot de passe d’au moins 6 caractères (alphabétique ou alphanumérique)
Si vos appareils sont sous une version Android 12 ou plus récente, votre politique de mot de passe restera telle quelle même après le changement, tant qu’aucune modification ne sera faite dessus. Cependant, nous vous recommanderons vivement d’utiliser les options conçues pour Android 12 et +, afin d’éviter toute problématique sur vos appareils.
Cette dépréciation ne concerne pas les appareils sous une version Android 11 ou moins.
1. En mode 100% Managé ou Mode Kiosque
En mode 100% Managé ou Kiosque, vous pouvez définir différentes options qui s’appliqueront directement au mot de passe de déverrouillage de l’écran. Voici les différents options existantes:
- Définir le type de mot de passe
- Activer ou désactiver l’authentification par empreinte digitale et reconnaissance faciale
- Choisir la taille minimale
- Choisir le délai d’expiration
- Définir le nombre de fois où un mot de passe déjà utilisé peut-être réutilisé
- Définir le nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil
2. En mode BYOD (Profil de Travail) ou WPCO
En mode BYOD ou WPCO, il est possible de définir un mot de passe pour déverrouiller l’écran d’accueil mais il est également possible d’en définir un pour ouvrir le Profil de Travail (ou Profil Professionnel).
a. Options pour déverrouiller l’écran d’accueil
- Définir le type de mot de passe
- Choisir la taille minimale
- Activer ou désactiver l’authentification par empreinte digitale et reconnaissance faciale
- Choisir le délai d’expiration
- Définir le nombre de fois où un mot de passe déjà utilisé peut-être réutilisé
- Définir le nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil
b. Options pour déverrouiller le Profil de Travail (ou Profil Professionnel)
- Définir le type de mot de passe
- Choisir la taille minimale
- Activer ou désactiver l’authentification par empreinte digitale et reconnaissance faciale
- Choisir le délai d’expiration
- Définir le nombre de fois où un mot de passe déjà utilisé peut-être réutilisé
- Définir le nombre maximal d’erreurs de saisie du mot de passe avant réinitialisation usine de l’appareil
Pour info: sur les appareils configurés en mode BYOD ou WPCO, il existe une fonctionnalité appelée “Profil professionnel“. Cette option permet de déverrouiller à la fois le Profil de Travail et l’écran de l’appareil en une seule action via un mot de passe unique, à condition que le mot de passe de déverrouillage de l’écran respecte le niveau de complexité requis pour le déverrouillage du profil de travail. En fonction du modèle des appareils, l’accès à cette fonctionnalité peut différer:
- Allez dans les paramètres puis dans le menu Sécurité
- Puis cliquez sur Profil professionnel et activez l’option Utilisation d’un verrouillage.
- Assurez-vous que le mot de passe de votre appareil correspond au niveau de complexité demandé.
Si vous faites une demande de changement ou de suppression du mot de passe depuis TinyMDM (Etapes B et C de ce tutoriel), seul le mot de passe du Profil professionnel prendra en compte la modification.
B. Modifier le mot de passe
1. En mode 100% Managé ou Mode Kiosque
En mode 100% Managé ou en Mode Kiosque, il est possible de modifier un mot de passe à distance en cas de besoin. Pour cela, il faut qu’une politique de mots de passe ai été mise en place au préalable dans la politique de sécurité (en suivant les étapes précédentes), puis au moment voulu:
- Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
- Cliquez ensuite sur Changer le mot de passe et rentrez un mot de passe temporaire pour déverrouiller l’appareil.
2. En mode WPCO
En mode WPCO, il est possible de modifier à distance le mot de passe de déverrouillage du profil professionnel. Pour cela, il faut qu’une politique de mot de passe ai été mise en place au préalable dans la politique de sécurité, puis au moment voulu:
- Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
- Cliquez ensuite sur Changer le mot de passe et rentrez un mot de passe permettant de déverrouiller le profil professionnel
Le mot de passe de déverrouillage ne changera pas, cependant celui permettant d’accéder au Profil professionnel sera modifié.
3. En mode BYOD (Profil de Travail)
En mode BYOD, puisque cela touche directement aux réglages de l’appareil, il n’est pas possible de modifier à distance le mot de passe renseigné.
C. Supprimer le mot de passe
1. En mode 100% Managé ou Mode Kiosque
En mode 100% Managé ou en Mode Kiosque, il est possible de supprimer un mot de passe à distance en cas de besoin. Pour cela, il faut qu’une politique de mots de passe ai été mise en place au préalable dans la politique de sécurité (en suivant les étapes précédentes), puis au moment voulu:
- Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
- Cliquez ensuite sur Supprimer le mot de passe. Une pop-up de confirmation apparaît, cliquez sur Ok pour confirmer votre demande. Si la politique de mot de passe est toujours appliquée sur son appareil, l’utilisateur recevra alors une pop-up pour modifier son mot de passe conformément à la politique de mot de passe.
2. En mode WPCO
En mode WPCO, il est possible de supprimer à distance le mot de passe de déverrouillage du profil professionnel. Pour cela, il faut qu’une politique de mot de passe ai été mise en place au préalable dans la politique de sécurité puis au moment voulu:
- Rendez-vous dans l’onglet Appareils et cliquez sur le menu disponible sur la carte de l’appareil
- Cliquez ensuite sur Supprimer le mot de passe. Une pop-up de confirmation apparaît, cliquez sur Ok pour confirmer votre demande. Si la politique de mot de passe est toujours appliquée sur son appareil, l’utilisateur recevra alors une pop-up pour modifier son mot de passe conformément à la politique de mot de passe.
3. En mode BYOD (Profil de Travail)
En mode BYOD, puisque cela touche directement aux réglages de l’appareil, il n’est pas possible de supprimer à distance le mot de passe renseigné.
D. La signification des différentes options
Définir le type de mot de passe (Android 11 et -)
N’importe quel mot de passe, schéma ou code PIN
L’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
Mot de passe ou code PIN
L’utilisateur pourra choisir entre un mot de passe ou un code PIN, tant que celui-ci respecte la taille minimale requise.
Mot de passe ou code PIN complexe
L’utilisateur pourra choisir entre un mot de passe ou un code PIN complexe (non répétitif ou ordonné) respectant la taille minimale requise.
Mot de passe
L’utilisateur pourra choisir entre un mot de passe, un schéma ou un code PIN, tant que celui-ci respecte la taille minimale requise.
Mot de passe complexe
L’utilisateur devra choisir un mot de passe complexe (lettre et numérique) respectant la taille minimale requise.
Mot de passe sécurisé
L’utilisateur devra choisir un mot de passe sécurisé (lettres, chiffres et caractères spéciaux) respectant la taille minimale requise.
Définir la taille minimale (Android 11 et -)
Aucune taille minimale requise
L’utilisateur pourra choisir lui même la taille de son mot de passe (non recommandé)
Taille minimum
L’utilisateur devra choisir un mot de passe respectant une taille minimale de 6, 8, 10, 12, 14, ou 16 caractères.
Définir le délai d’expiration
Illimité
L’utilisateur ne sera pas obligé de changer régulièrement le mot de passe (non recommandé)
Délai
L’utilisateur devra mettre à jour son mot de passe tous les : 7 jours, 1 mois, 3 mois, 6 mois ou 1 an.
Définir le nombre de fois avant la réutilisation possible
Nombre
Pour garantir une plus grande sécurité, vous pouvez définir le nombre de fois avant qu’un ancien mot de passe puisse être réutilisé sur un même appareil (entre 1 et 50 fois).
Définir un nombre maximal de saisies erronées
Illimité
L’utilisateur peut essayer un nombre de fois illimités un mot de passe erroné et cela n’impactera pas son appareil
Essais
L’utilisateur aura 5, 10 ou 15 essais pour entrer le mot de passe. S’il se trompe trop de fois, l’appareil se réinitialisera aux réglages usines.