Une part importante du travail d'entreprise moderne se fait via les appareils mobiles : e-mail, accès aux documents, agenda, banque, applications de santé, systèmes d'audit. Le personnel de terrain, les équipes commerciales, les professionnels de santé et les dirigeants utilisent un téléphone ou une tablette comme appareil de travail.
Pourtant, l'appareil mobile reste invisible pour la plupart des infrastructures de sécurité d'entreprise. Les plateformes ADC et WAAP voient le trafic du navigateur/de l'application mobile mais ne peuvent pas collecter de donnée sur l'appareil lui-même. Le besoin de MDM est généralement couvert par un produit séparé, une licence séparée et une équipe opérationnelle séparée.
Cette séparation crée deux problèmes. Premièrement : la politique d'accès des appareils mobiles ne fusionne pas avec l'AAM ; la posture de l'appareil et la décision d'accès vivent à des endroits différents. Deuxièmement : les équipes SOC et IT doivent regarder deux interfaces distinctes lors d'un incident.
TR7 ETM ferme cette séparation. La gestion mobile est offerte sur la même plateforme comme une extension naturelle de la gestion desktop.
TR7 ETM offre le même modèle opérationnel pour les appareils mobiles et desktop — télémétrie, action, politique et audit communs.
Pour transmettre des commandes aux appareils, les standards push et MDM natifs d'iOS et d'Android sont utilisés. Aucun besoin d'une solution MDM tierce ; l'ETM fonctionne comme MDM intégré.
Un opérateur peut appliquer une politique à un appareil Android tout en exécutant une requête en direct sur le desktop. Pas d'outil séparé, pas de formation séparée, pas d'audit séparé — via une seule plateforme TR7.
Les signaux de conformité de l'appareil mobile — jailbreak, root, niveau de l'OS, chiffrement, contrôle ou non par MDM — alimentent directement la conditional-access policy AAM. La décision d'accès est aussi prise selon la confiance de l'appareil pour le mobile.
Avec le profil professionnel Android et la configuration des applications gérées iOS, la donnée professionnelle est séparée de la donnée personnelle. Dans les scénarios BYOD, la donnée d'entreprise est gérée sans toucher aux applications personnelles de l'utilisateur ; en cas de perte de l'appareil, seul le profil professionnel est effacé.
Le MDM intégré inclut tous les types d'appareils du terrain dans la couche de gestion TR7 sans distinction.
Le flux d'enrôlement de l'appareil est configuré selon le scénario : zero-touch enrollment pour un appareil acheté par l'entreprise, enrôlement self-service pour un appareil apporté par l'utilisateur, chaîne de commandes MDM pour un appareil d'entreprise. L'intégration aux programmes d'appareils d'entreprise est prise en charge par la plateforme.
Les réseaux Wi-Fi d'entreprise, les configurations VPN, les définitions de comptes e-mail et les certificats client sont transmis à l'appareil sous forme de profil. L'utilisateur ne fait pas de configuration manuelle ; un changement de politique est distribué automatiquement à tout l'inventaire d'appareils.
Les applications d'entreprise peuvent être installées automatiquement, les versions anciennes peuvent être renouvelées avec une exigence de mise à jour, les applications interdites peuvent être bloquées ou supprimées. Les applications dans les managed app iOS et le work profile Android sont sous contrôle total.
Des conditions minimales sont définies pour qu'un appareil soit considéré conforme : version de l'OS, chiffrement du disque, type d'écran de verrouillage, activation biométrique, état du débogage USB. Les appareils non conformes sont écartés de l'accès ou restreints.
Les appareils jailbreakés ou rootés sont automatiquement placés dans la classe non-compliant. Ce signal se reflète instantanément dans la décision de conditional-access AAM ; dans les scénarios à haute sensibilité comme les applications bancaires, de santé ou publiques, l'accès est directement bloqué.
Lorsqu'un appareil est perdu, il y a deux options : effacement complet (factory reset, données d'entreprise et personnelles incluses) ou effacement sélectif (uniquement le profil professionnel). Dans les scénarios BYOD, l'effacement sélectif protège les données personnelles de l'utilisateur.
Avec l'accord de la politique d'entreprise, la localisation de l'appareil peut être surveillée ; un déclencheur de politique se met en marche pour un appareil sortant d'une frontière géographique. Cette fonctionnalité est utilisée notamment dans les secteurs soumis à des restrictions de transfert transfrontalier de données.
Les certificats client, les certificats racine et les certificats de signature d'application sont distribués automatiquement aux appareils. Le renouvellement, la révocation et la distribution des certificats sont gérés de façon centralisée ; l'utilisateur ne fait pas d'installation manuelle.
Pour les environnements à haute sécurité, l'usage de la caméra, l'accès au microphone, l'enregistrement d'écran et la connexion d'appareils externes peuvent être gérés par la politique. C'est adapté aux scénarios de salle de réunion, aux sites sensibles ou aux environnements publics/de défense.
Lorsqu'une nouvelle politique est définie, l'appareil est averti via le canal push natif de la plateforme ; la politique s'applique en quelques minutes. L'utilisateur n'attend pas de redémarrage ni d'établissement de connexion.
Le MDM intégré n'est pas seulement une capacité technique, il offre un modèle de gestion complet pour les flottes mobiles.
Les actions sur les appareils mobiles et desktop s'accumulent dans la même piste d'audit. Les équipes compliance n'ont pas à faire de reporting séparé ; pour un incident, la donnée des deux types d'appareils arrive ensemble.
Le signal de posture mobile (conformité, jailbreak, version d'OS) est une entrée directe de la conditional-access policy AAM. La politique d'accès est rédigée selon la confiance de l'appareil, et non selon le type d'appareil.
Le zero-touch enrollment est pris en charge pour les appareils achetés par l'entreprise. Lorsque l'appareil est allumé, il entre automatiquement dans le périmètre MDM ; l'utilisateur ne fait pas d'étape supplémentaire dans le setup wizard.
Le profil professionnel Android et la configuration des applications gérées iOS séparent physiquement la donnée personnelle et professionnelle. L'entreprise ne voit et ne gère que le profil professionnel ; elle n'a pas accès à la donnée personnelle.
La donnée collectée depuis les appareils est conservée dans le réseau de l'entreprise, dans le stockage de gestion TR7. Il n'y a aucune dépendance à un MDM cloud. Une configuration appropriée peut être réalisée pour la minimisation des données et les restrictions de transfert transfrontalier de données.
Des dizaines de milliers d'appareils mobiles peuvent être gérés depuis un seul cluster TR7. La distribution groupée de politique, l'installation d'applications sur tout l'inventaire d'appareils et l'interrogation de conformité en direct sont dimensionnées.
Le médecin, sur sa propre tablette, doit être en conformité GDPR et avec les données de santé. L'ETM MDM distribue un profil professionnel ; sans toucher aux applications personnelles, l'e-mail d'entreprise, le système de gestion patient et l'accès basé sur certificat fonctionnent dans un profil sécurisé. En cas de perte de l'appareil, seul le profil professionnel est effacé.
Le personnel de terrain des secteurs logistique, énergie ou infrastructure utilise un appareil d'entreprise. Avec le zero-touch enrollment, lorsque l'appareil est allumé, il entre automatiquement dans le périmètre MDM ; les applications de terrain sont installées automatiquement, les paramètres Wi-Fi et VPN sont distribués sans intervention manuelle.
Pour la banque ou les services financiers, la politique d'accès AAM est liée à la confiance de l'appareil mobile. Les appareils non-compliant en raison d'un jailbreak, d'une version d'OS ancienne ou d'un chiffrement désactivé n'obtiennent pas l'accès à l'application. La décision est prise à partir d'un signal en direct.
Lorsque l'utilisateur signale la perte de l'appareil, l'opérateur IT applique d'un seul clic un effacement sélectif ou un effacement complet. Dans le scénario BYOD, les photos et applications personnelles de l'utilisateur ne sont pas perdues ; seul le profil professionnel est nettoyé. La donnée d'entreprise est retirée de l'appareil en quelques minutes.
Voyons l'ETM MDM en direct dans votre propre inventaire mobile — planifions une session d'installation pour un groupe pilote.