Gestion de l'accès aux appareils mobiles
Kaspersky Endpoint Security vous permet de contrôler l'accès aux données sur les appareils mobiles fonctionnant sous Android et iOS. Les appareils mobiles appartiennent à la catégorie des appareils portables (MTP). Par conséquent, pour configurer l'accès aux données sur les appareils mobiles, vous devez modifier les paramètres d'accès relatifs aux appareils portables (MTP).
Lorsqu'un appareil portable se connecte à un ordinateur, le système d'exploitation en détermine le type. Si Android Debug Bridge (ADB), iTunes ou leurs équivalents sont installés sur l'ordinateur, le système d'exploitation identifie les appareils mobiles en tant qu'appareils ADB ou iTunes. Dans les autres cas, le système d'exploitation peut déterminer le type d'appareil mobile en tant qu'appareil portable (MTP) pour transférer des fichiers, en tant qu'appareil PTP (appareil photo) pour transférer des images ou en tant qu'autre appareil. Le type d'appareil dépend du modèle de l'appareil mobile et du mode de connexion USB sélectionné. Kaspersky Endpoint Security vous permet de configurer des autorisations d'accès individuelles pour les données des appareils mobiles dans les applications ADB, iTunes ou le gestionnaire de fichiers. Dans tous les autres cas, le Contrôle des appareils autorise l'accès aux appareils mobiles conformément aux règles d'accès aux appareils portables (MTP).
Accès aux appareils mobiles
Les appareils mobiles appartiennent à la catégorie des appareils portables (MTP), par conséquent, leurs paramètres sont les mêmes. Vous pouvez sélectionner l'un des modes d'accès suivants aux appareils mobiles :
- Autoriser . Kaspersky Endpoint Security permet un accès complet aux appareils mobiles. Vous pouvez ouvrir, créer, modifier, copier ou supprimer des fichiers sur des appareils mobiles à l'aide du gestionnaire de fichiers ou des applications ADB et iTunes. Vous pouvez également charger la batterie de l'appareil en connectant l'appareil mobile à un port USB de l'ordinateur.
- Interdire . Kaspersky Endpoint Security limite l'accès aux appareils mobiles dans le gestionnaire de fichiers et les applications ADB et iTunes. L'application n'autorise l'accès qu'à appareils mobiles de confiance. Vous pouvez également charger la batterie de l'appareil en connectant l'appareil mobile à un port USB de l'ordinateur.
- Dépend du bus de connexion . Kaspersky Endpoint Security autorise la connexion aux appareils mobiles en fonction de l'état de la connexion USB (Autoriser ou Interdire ).
- Selon les règles . Kaspersky Endpoint Security limite l'accès aux appareils mobiles conformément aux règles. Dans les règles, vous pouvez configurer les droits d'accès (lecture/écriture), sélectionner les utilisateurs ou un groupe d'utilisateurs pouvant avoir accès aux appareils mobiles, et configurer un horaire d'accès aux appareils mobiles. Vous pouvez également restreindre l'accès aux données sur les appareils mobiles à l'aide des applications ADB et iTunes.
Configuration des règles d'accès aux appareils mobiles
Les règles d'accès pour les appareils portables (MTP), les appareils ADB et les appareils iTunes sont configurées différemment. Pour les appareils portables (MTP) et les appareils ADB, vous pouvez configurer des règles pour des utilisateurs individuels ou des groupes d'utilisateurs et créer un programme selon lequel les règles s'appliqueront. Pour les appareils iTunes, cette opération n'est pas possible. Vous pouvez uniquement autoriser ou refuser l'accès aux données via l'application iTunes pour tous les utilisateurs.
Comment configurer les règles d'accès aux appareils mobiles dans la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Stratégies.
- Sélectionnez la stratégie requise et ouvrez les propriétés de la stratégie d'un double-clic.
- Dans la fenêtre de la stratégie, sélectionnez Contrôles de sécurité → Contrôle des appareils.
- Sous les Paramètres du Contrôle des appareils, sélectionnez l'onglet Types d'appareils.
Le tableau énumère les règles d'accès pour tous les appareils qui sont présents dans la classification du module Contrôle des appareils.
- Dans le menu contextuel relatif au type d'appareil Appareils portables (MTP), configurez le mode d'accès aux appareils mobiles : Autoriser , Interdire ou Dépend du bus de connexion .
- Pour configurer les règles d'accès aux appareils mobiles, double-cliquez pour ouvrir la liste des règles.
- Configurer la règle d'accès aux appareils mobiles :
- Cliquez sur le bouton Ajouter dans le groupe Règles d'accès.
Cette action ouvre une fenêtre permettant d'ajouter une nouvelle règle d'accès aux appareils mobiles.
- Dans le champ Priorité, définissez la priorité d'écriture de la règle. Une règle comprend les attributs suivants : compte d'utilisateur, planification, autorisations (lecture/écriture/accès ADB) et priorité.
Une règle présente une priorité particulière. Si un utilisateur a été ajouté à plusieurs groupes, Kaspersky Endpoint Security contrôle l'accès aux appareils en fonction de la règle présentant la priorité la plus élevée. Kaspersky Endpoint Security autorise l'attribution de priorités de 0 à 10 000. Plus la valeur est élevée, plus la priorité est élevée. Autrement dit, une entrée dont la valeur est 0 présente la priorité la plus faible.
Par exemple, vous pouvez accorder des autorisations en lecture seule au groupe Tous et accorder des autorisations en lecture/écriture au groupe des administrateurs. Pour ce faire, attribuez une priorité de 1 au groupe des administrateurs et une priorité de 0 au groupe Tous.
Une règle d'interdiction a une priorité supérieure à une règle d'autorisation. Autrement dit, si un utilisateur a été ajouté à plusieurs groupes et que la priorité de toutes les règles est la même, Kaspersky Endpoint Security contrôle l'accès à l'appareil en fonction de n'importe quelle règle de blocage existante.
- Sous Règle pour les utilisateurs et les groupes, sélectionnez des utilisateurs ou des groupes d'utilisateurs. Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine.
- Cliquez sur OK.
- Sous Planification pour la règle d'accès sélectionnée, configurez une planification d'accès aux appareils mobiles pour les utilisateurs.
Il n'est pas possible de configurer une planification d'accès distincte pour les appareils ADB. Vous pouvez configurer une planification d'accès commune pour les appareils ADB et les appareils portables (MTP).
- Configurez les autorisations d'accès des utilisateurs aux appareils mobiles dans le gestionnaire de fichiers (Lecture / Écriture).
- Configurez l'accès aux données sur un appareil mobile via l'application ADB à l'aide de la case Accès via ADB.
Si la case est décochée, lorsque l'appareil mobile est connecté, l'application ADB ne peut pas détecter l'appareil.
- Sous Accès via iTunes, configurez l'accès aux données sur l'appareil mobile via l'application iTunes.
Kaspersky Endpoint Security applique les paramètres d'accès aux appareils mobiles via l'application iTunes pour tous les utilisateurs. Il n'est pas possible de configurer une planification d'accès distincte pour les appareils iTunes.
- Enregistrez vos modifications.
Comment configurer les règles d'accès aux appareils mobiles dans Web Console et Cloud Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
- Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Passez à la section Contrôles de sécurité → Contrôle des appareils.
- Dans le groupe Paramètres du contrôle des appareils, cliquez sur le lien Règles d'accès pour les appareils et les réseaux Wi-Fi.
Le tableau énumère les règles d'accès pour tous les appareils qui sont présents dans la classification du module Contrôle des appareils.
- Sélectionnez le type d'appareil Appareils portables (MTP).
Cette action ouvre les droits d'accès aux appareils portables (MTP).
- Sous Configuration des règles d'accès aux appareils, configurez le mode d'accès aux appareils mobiles : Autoriser, Interdire, Dépend du bus de connexion ou Selon les règles.
- Si vous sélectionnez le mode Selon les règles, vous devez ajouter des règles d'accès pour les appareils. Pour ce faire, sous Utilisateurs, cliquez sur le bouton Ajouter et configurez la règle d'accès aux appareils mobiles :
- Dans le champ Règle d'accès aux appareils, définissez la priorité d'écriture de la règle. Une règle comprend les attributs suivants : compte d'utilisateur, planification, autorisations (lecture/écriture/accès ADB) et priorité.
Une règle présente une priorité particulière. Si un utilisateur a été ajouté à plusieurs groupes, Kaspersky Endpoint Security contrôle l'accès aux appareils en fonction de la règle présentant la priorité la plus élevée. Kaspersky Endpoint Security autorise l'attribution de priorités de 0 à 10 000. Plus la valeur est élevée, plus la priorité est élevée. Autrement dit, une entrée dont la valeur est 0 présente la priorité la plus faible.
Par exemple, vous pouvez accorder des autorisations en lecture seule au groupe Tous et accorder des autorisations en lecture/écriture au groupe des administrateurs. Pour ce faire, attribuez une priorité de 1 au groupe des administrateurs et une priorité de 0 au groupe Tous.
Une règle d'interdiction a une priorité supérieure à une règle d'autorisation. Autrement dit, si un utilisateur a été ajouté à plusieurs groupes et que la priorité de toutes les règles est la même, Kaspersky Endpoint Security contrôle l'accès à l'appareil en fonction de n'importe quelle règle de blocage existante.
- Sous Utilisateurs, sélectionnez les utilisateurs ou les groupes d'utilisateurs qui auront accès aux appareils mobiles. Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine.
- Sous Planification de l'accès aux appareils, configurez une planification d'accès aux appareils mobiles pour les utilisateurs.
Il n'est pas possible de configurer une planification d'accès distincte pour les appareils ADB. Vous pouvez configurer une planification d'accès commune pour les appareils ADB et les appareils portables (MTP).
- Configurez les autorisations d'accès des utilisateurs aux appareils mobiles dans le gestionnaire de fichiers (Lecture / Écriture).
- Configurez l'accès aux données sur un appareil mobile via l'application ADB à l'aide de la case Accès via ADB.
Si la case est décochée, lorsque l'appareil mobile est connecté, l'application ADB ne peut pas détecter l'appareil.
- Sous Accès via iTunes, configurez l'accès aux données sur l'appareil mobile via l'application iTunes.
Kaspersky Endpoint Security applique les paramètres d'accès aux appareils mobiles via l'application iTunes pour tous les utilisateurs. Il n'est pas possible de configurer une planification d'accès distincte pour les appareils iTunes.
- Enregistrez vos modifications.
Comment configurer les règles d'accès aux appareils mobiles dans l'interface de l'application
- Dans la fenêtre principale de l'application, cliquez sur le bouton .
- Dans la fenêtre des paramètres de l'application, sélectionnez Contrôles de sécurité → Contrôle des appareils.
- Cliquez sur le bouton Appareils et réseaux Wi-Fi dans le groupe Paramètres d'accès.
La fenêtre qui s'ouvre présente les règles d'accès pour tous les appareils qui sont inclus dans la classification des modules du Contrôle des appareils.
Types d'appareils dans le module Contrôle des appareils
- Dans le groupe Accès aux Appareils de stockage, cliquez sur le lien Appareils portables (MTP).
Cette action ouvre une fenêtre contenant les règles d'accès aux appareils portables (MTP).
- Sous Accès, configurez le mode d'accès aux appareils mobiles : Autoriser, Bloquer, Dépend du bus de connexion ou Selon les règles.
- Si vous sélectionnez le mode Selon les règles, vous devez ajouter des règles d'accès pour les appareils :
- Cliquez sur le bouton Ajouter dans le groupe Droits des utilisateurs.
Cette action ouvre une fenêtre permettant d'ajouter une nouvelle règle d'accès aux appareils mobiles.
- Dans le champ Priorité, définissez la priorité d'écriture de la règle. Une règle comprend les attributs suivants : compte d'utilisateur, planification, autorisations (lecture/écriture/accès ADB) et priorité.
Une règle présente une priorité particulière. Si un utilisateur a été ajouté à plusieurs groupes, Kaspersky Endpoint Security contrôle l'accès aux appareils en fonction de la règle présentant la priorité la plus élevée. Kaspersky Endpoint Security autorise l'attribution de priorités de 0 à 10 000. Plus la valeur est élevée, plus la priorité est élevée. Autrement dit, une entrée dont la valeur est 0 présente la priorité la plus faible.
Par exemple, vous pouvez accorder des autorisations en lecture seule au groupe Tous et accorder des autorisations en lecture/écriture au groupe des administrateurs. Pour ce faire, attribuez une priorité de 1 au groupe des administrateurs et une priorité de 0 au groupe Tous.
Une règle d'interdiction a une priorité supérieure à une règle d'autorisation. Autrement dit, si un utilisateur a été ajouté à plusieurs groupes et que la priorité de toutes les règles est la même, Kaspersky Endpoint Security contrôle l'accès à l'appareil en fonction de n'importe quelle règle de blocage existante.
- Sous Condition, activez la règle d'accès aux appareils mobiles.
- Sous Règles d'accès, configurez les autorisations d'accès aux appareils mobiles pour les utilisateurs.
- Sous Utilisateurs, sélectionnez les utilisateurs ou les groupes d'utilisateurs qui auront accès aux appareils mobiles. Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine.
- Sous Planification de l'accès aux appareils, configurez une planification d'accès aux appareils pour les utilisateurs.
Il n'est pas possible de configurer une planification d'accès distincte pour les appareils ADB. Vous pouvez configurer une planification d'accès commune pour les appareils ADB et les appareils portables (MTP).
- Sous Accès via iTunes, configurez l'accès aux données sur l'appareil mobile via l'application iTunes.
Kaspersky Endpoint Security applique les paramètres d'accès aux appareils mobiles via l'application iTunes pour tous les utilisateurs. Il n'est pas possible de configurer une planification d'accès distincte pour les appareils iTunes.
- Enregistrez vos modifications.
L'accès des utilisateurs aux appareils mobiles est dès lors limité conformément aux règles. Si vous avez interdit l'accès aux appareils mobiles dans les applications ADB et iTunes, lorsque vous connectez un appareil mobile, les applications ADB et iTunes ne peuvent pas le détecter.
Appareils mobiles de confiance
Les Appareils de confiance sont les appareils que les utilisateurs définis dans les paramètres de l'appareil de confiance peuvent accéder librement à tout moment.
La procédure d'ajout d'un appareil mobile de confiance est exactement la même que pour les autres types d'appareils de confiance. Vous pouvez ajouter un appareil mobile par identifiant ou par modèle d'appareil.
Pour ajouter un appareil mobile de confiance par identifiant, vous aurez besoin d'un identifiant unique (Hardware ID - HWID). Vous pouvez trouver l'identifiant dans les propriétés de l'appareil en utilisant les outils du système d'exploitation (voir la figure ci-dessous). L'outil Gestionnaire de périphériques vous permet de réaliser cette opération. Les identifiants des appareils portables (MTP) ainsi que des appareils ADB et iTunes sont différents même pour le même appareil mobile. L'identifiant d'un appareil portable (MTP) peut ressembler à ceci : 15131JECB07440
. L'identifiant d'un appareil ADB peut se présenter comme suit : 6&370DEC2A&0&0001
. L'ajout d'un appareil par identifiant est pratique si vous souhaitez ajouter plusieurs appareils spécifiques. Vous pouvez également utiliser des masques.
Si vous avez installé les applications ADB ou iTunes après avoir connecté l'appareil à l'ordinateur, l'identifiant unique de l'appareil peut être réinitialisé. Autrement dit, Kaspersky Endpoint Security considérera cet appareil comme un nouvel appareil. S'il s'agit d'un appareil de confiance, ajoutez-le à nouveau à la liste des appareils de confiance.
Pour ajouter un appareil mobile de confiance par modèle d'appareil, vous avez besoin de son identifiant de fournisseur (VID) et de son identifiant de produit (PID). Vous pouvez trouver les identifiants dans les propriétés de l'appareil en utilisant les outils du système d'exploitation (voir la figure ci-dessous). Modèle de saisie du VID et du PID : VID_18D1&PID_4EE5
. L'ajout d'appareil par modèle est pratique si vous utilisez des appareils d'un certain modèle dans votre organisation. Ainsi, vous pouvez ajouter tous les appareils de ce modèle.
L'identifiant de l'appareil dans le Gestionnaire de périphériques
Haut de page