Conteneurisation BYOD
Séparez les données personnelles et professionnelles sur les appareils personnels des employés. Protection des données d'entreprise et respect de la vie privée.
Qu'est-ce que la conteneurisation BYOD ?
Le BYOD (Bring Your Own Device) permet aux employés d'utiliser leurs appareils personnels pour le travail. La conteneurisation crée un espace sécurisé et isolé pour les données professionnelles, sans impacter l'espace personnel de l'utilisateur.
Modèles de déploiement
BYOD (Work Profile)
Appareil personnel avec profil professionnel. L'entreprise gère uniquement le conteneur pro, pas l'appareil entier.
Idéal pour : Employés avec leurs propres appareils
COPE (Work Profile on Fully Managed)
Appareil fourni par l'entreprise avec un profil personnel autorisé. L'entreprise contrôle l'appareil mais autorise un usage personnel.
Idéal pour : Appareils d'entreprise avec usage mixte
Fonctionnement du Work Profile Android
Isolation complète
Le Work Profile crée un espace isolé avec ses propres applications, contacts, fichiers et paramètres. Les données pro ne peuvent pas être copiées vers l'espace personnel.
Chiffrement séparé
Le conteneur professionnel est chiffré avec une clé distincte. Le code du Work Profile peut être différent du code de l'appareil.
Applications séparées
Les applications pro (avec badge 🔒) sont séparées des applications personnelles. Ex: Gmail pro et Gmail perso coexistent.
Vie privée préservée
L'administrateur MDM ne voit pas les applications personnelles, photos, contacts ou historique de navigation personnel.
Configuration du Work Profile
Enrôlement BYOD
- 1.1
L'utilisateur télécharge l'app d'enrôlement
SureMDM Agent disponible sur Google Play Store
- 1.2
Scanne le QR code ou entre l'identifiant
Fourni par l'administrateur, lie l'appareil au compte entreprise
- 1.3
Création automatique du Work Profile
Android crée le conteneur professionnel et installe les applications pro
- 1.4
Configuration du code Work Profile
Si requis par la politique, l'utilisateur définit un code distinct pour le profil pro
Politiques de sécurité du Work Profile
Restrictions configurables
Protection des données
- • Bloquer le copier-coller entre profils
- • Bloquer le partage de fichiers vers l'espace personnel
- • Bloquer les captures d'écran dans le Work Profile
- • Exiger le chiffrement du Work Profile
Mot de passe Work Profile
- • Unified : Même code que l'appareil
- • Separate : Code distinct (plus sécurisé)
- • Complexité minimale du code
- • Expiration et historique
Contrôle des applications
- • Liste blanche d'applications autorisées
- • Installation silencieuse d'applications
- • Blocage de la désinstallation
- • Managed Google Play uniquement
Configuration dans SureMDM
- 2.1
Créez un profil Work Profile
Profiles > Create Profile > Android > Work Profile Policy
- 2.2
Configurez les restrictions de données
- • Cross-profile copy paste : Désactivé
- • Cross-profile data sharing : Désactivé
- • Work Profile screenshots : Désactivé (selon besoins)
- 2.3
Configurez le mot de passe
- • Password Type : Separate (recommandé)
- • Minimum Length : 6+ caractères
- • Complexity : Alphanumérique
Gestion des applications Work Profile
Déploiement d'applications
- 3.1
Utilisez le Managed Google Play
Approuvez les applications dans le Managed Google Play pour les rendre disponibles dans le Work Profile.
- 3.2
Types de déploiement
- • Required : Installation obligatoire automatique
- • Available : Disponible pour installation par l'utilisateur
- • Preinstalled : Pré-installée lors de la création du profil
- 3.3
Configuration managée
Configurez les applications de manière centralisée (ex: serveur email, VPN, paramètres métier) sans intervention utilisateur.
Pause et effacement du Work Profile
Pause du Work Profile
L'utilisateur peut mettre en pause le Work Profile (ex: pendant les vacances). Les applications pro sont désactivées et ne reçoivent plus de notifications.
- • Pause manuelle : L'utilisateur met en pause depuis les paramètres
- • Pause programmée : Heures de travail définies dans la politique
- • Limite de pause : Durée maximale de pause configurable
Effacement du Work Profile
En cas de départ de l'employé ou de perte de l'appareil, vous pouvez effacer uniquement le Work Profile sans toucher aux données personnelles.
- 4.1
Effacement à distance
Console SureMDM > Sélectionnez l'appareil > Actions > Remove Work Profile
- 4.2
Effacement automatique
- • Après X jours sans connexion au MDM
- • Si l'utilisateur est supprimé du groupe
- • Si l'appareil est non conforme trop longtemps
Données personnelles préservées
L'effacement du Work Profile ne touche pas aux photos, applications personnelles, contacts personnels ou autres données de l'utilisateur.
Visibilité de l'administrateur
L'admin peut voir
- • Applications du Work Profile
- • Conformité de l'appareil (root, version OS)
- • Modèle et fabricant de l'appareil
- • État de la batterie et du stockage
- • Connexion réseau (WiFi/Mobile)
L'admin ne peut PAS voir
- • Applications personnelles
- • Photos et vidéos personnelles
- • Contacts personnels
- • Historique de navigation personnel
- • SMS et appels
- • Localisation (sauf si autorisée)
Bonnes pratiques
Communiquez clairement
Expliquez aux employés ce que l'entreprise peut voir et ne peut pas voir. La transparence renforce l'adoption du programme BYOD.
Exigez un code Work Profile séparé
Un code distinct pour le Work Profile renforce la sécurité des données pro même si le code personnel est compromis.
Définissez des heures de travail
Configurez des heures de travail pour permettre la pause automatique du Work Profile en dehors des heures de bureau.
Prévoyez le départ des employés
Ayez un processus clair pour effacer le Work Profile lors du départ d'un employé. Intégrez-le au processus RH d'offboarding.