Présentation technique des fonctions de sécurité

Local Navigation

Documentation produit   Documentation pour les administrateurs   BlackBerry Enterprise Server 5 Security   Présentation technique des fonctions de sécurité BlackBerry Enterprise Solution - 5.0.3

Utilisation d'une stratégie informatique pour gérer la sécurité de BlackBerry Enterprise Solution

Vous pouvez utiliser une stratégie informatique pour contrôler un terminal BlackBerry®, un terminal compatible BlackBerry, le logiciel BlackBerry® Desktop Software et BlackBerry® Web Desktop Manager dans l'environnement de votre entreprise. Une stratégie informatique consiste en plusieurs règles de stratégie informatique qui gèrent la sécurité et le comportement de la solution BlackBerry® Enterprise Solution. Par exemple, vous pouvez utiliser des règles de stratégie informatique pour gérer les fonctions de sécurité et les comportements du terminal BlackBerry suivants :
  • cryptage (par exemple, cryptage des données utilisateur et des messages transférés par BlackBerry® Enterprise Server aux destinataires des messages) et niveau de cryptage
  • utilisation d'un mot de passe ou d'une phrase secrète
  • connexions qui utilisent la technologie mobile Bluetooth®
  • protection des données utilisateur et des clés de transport du terminal sur le terminal BlackBerry
  • contrôle des ressources de terminal BlackBerry, comme l'appareil photo ou le GPS, qui sont disponibles sur des applications tierces

Le serveur BlackBerry Enterprise Server contient des stratégies informatiques préconfigurées que vous pouvez utiliser pour gérer la sécurité de la solution BlackBerry Enterprise Solution. La stratégie informatique par défaut inclut des règles de stratégie informatique qui sont configurées pour indiquer le comportement par défaut du terminal BlackBerry ou du logiciel BlackBerry Desktop Software.

Après qu'un utilisateur de terminal BlackBerry active un terminal BlackBerry, le serveur BlackBerry Enterprise Server envoie automatiquement au terminal BlackBerry la stratégie informatique que vous avez attribuée au compte ou au groupe d'utilisateurs. Si vous n'attribuez pas de stratégie informatique au compte ou au groupe d'utilisateurs, le serveur BlackBerry Enterprise Server envoie la stratégie informatique par défaut. Si vous supprimez une stratégie informatique que vous avez attribuée au compte ou au groupe d'utilisateurs, le serveur BlackBerry Enterprise Server réattribue automatiquement la stratégie informatique par défaut au compte d'utilisateur et la renvoie au terminal BlackBerry.

Pour plus d'informations, consultez le Guide de référence de la stratégie BlackBerry Enterprise Server.

Politiques informatiques préconfigurées

BlackBerry® Enterprise Server contient les politiques informatiques préconfigurées suivantes, que vous pouvez modifier pour créer des politiques informatiques correspondant aux exigences de votre entreprise.

Politique informatique préconfigurée

Description

Par défaut

Cette politique inclut toutes les règles de politique informatique standard définies dans BlackBerry Enterprise Server.

Terminaux à responsabilité individuelle

Comme dans la politique informatique par défaut, cette politique empêche des utilisateurs de terminal BlackBerry d'accéder à des données de l'organiseur à partir des applications de mise en réseau social sur leurs terminaux BlackBerry.

Cette politique permet à des utilisateurs d'accéder à leurs services de calendrier personnel et aux services de messagerie (par exemple, leurs comptes BlackBerry® Internet Service), mettre à jour BlackBerry® Device Software à l'aide des méthodes qui existent hors de votre entreprise, passer un appel lorsque les terminaux BlackBerry sont verrouillés, couper, copier et coller du texte. Les utilisateurs ne peuvent pas transférer d'e-mails d'un service de messagerie à un autre.

Vous pouvez utiliser la politique informatique de terminaux à responsabilité individuelle si votre entreprise comprend des utilisateurs qui achètent leurs propres terminaux BlackBerry et connectent les terminaux BlackBerry à une instance de BlackBerry Enterprise Server dans l'environnement de votre entreprise.

Sécurité par mot de passe standard

Comme la politique informatique par défaut, cette politique nécessite un mot de passe standard que les utilisateurs peuvent utiliser pour déverrouiller leur terminal BlackBerry. Les utilisateurs doivent changer leur mot de passe régulièrement. La politique informatique inclut un délai de validité du mot de passe qui verrouille les terminaux BlackBerry.

Sécurité par mot de passe moyenne

Comme la politique informatique par défaut, cette politique nécessite un mot de passe complexe que les utilisateurs peuvent utiliser pour déverrouiller leur terminal BlackBerry. Les utilisateurs doivent changer leur mot de passe régulièrement. Cette politique inclut un historique maximum du mot de passe et désactive la technologie Bluetooth® sur les terminaux BlackBerry.

Sécurité moyenne sans application tierce

Comme la sécurité par mot de passe moyenne, cette politique nécessite un mot de passe complexe que l'utilisateur doit souvent changer, une temporisation de sécurité et un historique maximum du mot de passe. Cette politique empêche des utilisateurs de rendre leurs terminaux BlackBerry détectables par d'autres appareils compatibles Bluetooth® et empêche les terminaux BlackBerry de télécharger des applications tierces.

Sécurité avancée

Comme la politique informatique par défaut, cette politique informatique nécessite également un mot de passe complexe que les utilisateurs doivent modifier fréquemment, un délai d'expiration du mot de passe qui verrouille les terminaux BlackBerry et un historique des mots de passe maximum. Cette politique limite la technologie Bluetooth® sur les terminaux BlackBerry, active le niveau élevé de protection du contenu, désactive la mémoire de masse USB et exige que les terminaux BlackBerry cryptent les systèmes de fichiers externes.

Sécurité avancée sans application tierce

Comme la politique informatique de sécurité avancée, cette politique informatique nécessite un mot de passe complexe que les utilisateurs doivent modifier fréquemment, un délai d'expiration de mot de passe qui verrouille les terminaux BlackBerry et un historique des mots de passe maximum. Cette politique limite la technologie Bluetooth® sur les terminaux BlackBerry, active le niveau élevé de protection du contenu, désactive la mémoire de masse USB, exige que les terminaux BlackBerry cryptent les systèmes de fichiers externes et empêche les terminaux BlackBerry de télécharger des applications tierces.

Utilisation des règles de politique informatique pour gérer la sécurité de BlackBerry Enterprise Solution

Vous pouvez utiliser des règles de politique informatique pour personnaliser et contrôler les actions que BlackBerry® Enterprise Solution peut exécuter.

Pour utiliser une règle de politique informatique sur le terminal BlackBerry, vous devez vérifier que la version du logiciel BlackBerry® Device Software prend en charge la règle de politique informatique voulue. Par exemple, vous ne pouvez pas utiliser la règle de politique informatique Désactiver l'appareil photo pour contrôler si l'utilisateur de terminal BlackBerry peut accéder à l'appareil photo sur le terminal BlackBerry si la version du logiciel BlackBerry Device Software ne prend pas en charge la règle de politique informatique. Pour obtenir des informations concernant la version du logiciel BlackBerry Device Software requise pour une règle de politique informatique spécifique, consultez le Guide de référence sur les stratégies BlackBerry Enterprise Server.

Si vous créez une politique informatique personnalisée qui ne permet pas aux utilisateurs de modifier leurs informations utilisateur sur leur terminal, vous pouvez uniquement appliquer cette politique informatique personnalisée aux terminaux qui exécutent BlackBerry Device Software 5.0 ou version ultérieure.

Le service BlackBerry Administration Service regroupe les règles de politique informatique par propriétés communes ou par application. La plupart des règles de politique informatique sont conçues pour que vous puissiez les attribuer à plusieurs comptes d'utilisateur et à plusieurs groupes.

Envoyer une politique informatique par le biais du réseau mobile

Si l'environnement de votre entreprise inclut des terminaux BlackBerry® compatibles C++ qui exécutent BlackBerry® Device Software version 2.5 ou ultérieure ou des terminaux BlackBerry compatibles Java® qui exécutent BlackBerry Device Software version 3.6 ou ultérieure, le serveur BlackBerry® Enterprise Server peut envoyer automatiquement des modifications des politiques informatiques à un terminal BlackBerry par le biais du réseau mobile. Lorsque le terminal BlackBerry reçoit une politique informatique mise à jour ou une nouvelle politique informatique, le terminal BlackBerry, BlackBerry® Desktop Software, et le gestionnaire BlackBerry® Web Desktop Manager appliquent les modifications de configuration immédiatement.

Par défaut, le serveur BlackBerry Enterprise Server est conçu pour renvoyer une politique informatique au terminal BlackBerry dans un court délai après la mise à jour de la politique informatique à l'aide du service BlackBerry Administration Service. Vous pouvez également renvoyer manuellement une politique informatique à un terminal BlackBerry spécifique. Vous pouvez configurer le serveur BlackBerry Enterprise Server pour qu'il renvoie la politique informatique au terminal BlackBerry à des intervalles planifiés, que vous ayez changé la politique informatique ou non.

Attribuer des politiques informatiques et résoudre des conflits de politiques informatiques

Vous pouvez attribuer des politiques informatiques directement à un compte d'utilisateur, des groupes, ou à BlackBerry® Domain. Par défaut, si vous n'attribuez pas de politique informatique à un compte d'utilisateur ou un groupe dont l'utilisateur est membre, BlackBerry® Enterprise Server applique la politique informatique que vous avez attribuée à BlackBerry Domain au compte d'utilisateur. Si vous attribuez une politique informatique à un groupe dont un compte d'utilisateur est membre, BlackBerry Enterprise Server applique la politique informatique de groupe au compte d'utilisateur. Si vous attribuez une politique informatique directement au compte d'utilisateur, BlackBerry Enterprise Server applique cette politique informatique au compte d'utilisateur au lieu de la politique informatique de groupe ou la politique informatique de domaine.

Si un compte d'utilisateur est membre de plusieurs groupes ayant des politiques informatiques différentes, BlackBerry Enterprise Server doit déterminer quelle politique informatique appliquer au compte d'utilisateur. Vous devez utiliser une des options de réconciliation suivantes :

Méthode

Description

Appliquer une politique informatique au compte d'utilisateur

BlackBerry Enterprise Server applique une des politiques informatiques de groupe au compte d'utilisateur. Vous indiquez des classements pour les politiques informatiques disponibles à l'aide de BlackBerry Administration Service et BlackBerry Enterprise Server applique la politique informatique selon le classement.

Si vous mettez à niveau vers BlackBerry Enterprise Server version 5.0 SP2 ou ultérieure à partir d'une version précédente de BlackBerry Enterprise Server, il s'agit de la méthode par défaut pour résoudre les conflits de politique informatique.

Appliquer plusieurs politiques informatiques au compte d'utilisateur

BlackBerry Enterprise Server applique toutes les politiques informatiques de groupe au compte d'utilisateur, générant une politique informatique combinée qui a un ID unique. BlackBerry Enterprise Server corrige les règles de politique informatique en conflit à l'aide du classement des politiques informatiques disponibles que vous avez indiqué à l'aide de BlackBerry Administration Service. Si une règle de politique informatique est différente dans les politiques informatiques multiples, BlackBerry Enterprise Server applique la règle de politique informatique que vous avez classée au rang le plus élevé.

Si vous installez BlackBerry Enterprise Server version 5.0 SP2 ou ultérieure, il s'agit de la méthode par défaut pour corriger les conflits de politique informatique.

Règles de réconciliation des politiques informatiques en conflit lorsque vous appliquez une politique informatique au compte d'utilisateur

BlackBerry® Enterprise Server ne peut appliquer qu'une politique informatique à un compte d'utilisateur. Puisque vous pouvez attribuer des politiques informatiques à des comptes d'utilisateur, à des groupes ou à BlackBerry Domain, BlackBerry Administration Service utilise des règles prédéfinies pour déterminer la politique informatique qu'il peut appliquer à un compte d'utilisateur.

Il est possible que BlackBerry Administration Service doive réconcilier des politiques informatiques en conflit si vous exécutez l'une des actions suivantes :

  • ajouter ou supprimer une politique informatique dans un compte d'utilisateur ou un groupe
  • modifier une politique informatique
  • modifier le classement des politiques informatiques
  • supprimer une politique informatique

Scénario

Règle

Vous ajoutez un nouveau compte d'utilisateur à BlackBerry Enterprise Server. Vous n'attribuez pas de politique informatique directement au compte d'utilisateur et vous n'ajoutez pas l'utilisateur à un groupe.

La politique informatique que vous avez attribuée au domaine BlackBerry Domain ou la politique informatique par défaut qui est attribuée à BlackBerry Domain, est attribuée au compte d'utilisateur.

Vous attribuez une politique informatique à un compte d'utilisateur et une autre politique informatique à un groupe auquel appartient le compte d'utilisateur.

La politique informatique que vous attribuez à un compte d'utilisateur a la priorité sur une politique informatique que vous attribuez à un groupe. Une politique informatique que vous attribuez à un groupe a la priorité sur la politique informatique que vous attribuez à BlackBerry Domain (ou la politique informatique par défaut).

Un compte d'utilisateur appartient à plusieurs groupes. Vous attribuez plusieurs politiques informatiques aux groupes, mais n'attribuez pas de politique informatique au compte d'utilisateur.

BlackBerry Enterprise Server applique la politique informatique que vous avez classée au rang le plus élevé dans BlackBerry Administration Service au compte d'utilisateur.

Règles de réconciliation des politiques informatiques en conflit lorsque vous appliquez plusieurs politiques informatiques à un compte d'utilisateur

BlackBerry® Enterprise Server peut appliquer plusieurs politiques informatiques à un compte d'utilisateur si le compte d'utilisateur est membre de plusieurs groupes ayant des politiques informatiques différentes. Étant donné que vous pouvez attribuer des politiques informatiques aux comptes d'utilisateur, aux groupes, ou à BlackBerry Domain, BlackBerry Administration Service utilise des règles prédéfinies pour appliquer une politique informatique à un compte d'utilisateur.

Il est possible que BlackBerry Administration Service doive réconcilier des politiques informatiques en conflit si vous exécutez l'une des actions suivantes :

  • ajouter ou supprimer une politique informatique dans un compte d'utilisateur ou un groupe
  • modifier une politique informatique
  • modifier le classement des politiques informatiques
  • supprimer une politique informatique

Scénario

Règle

Vous ajoutez un nouveau compte d'utilisateur à BlackBerry Enterprise Server. Vous n'attribuez pas de politique informatique directement au compte d'utilisateur et vous n'ajoutez pas le compte d'utilisateur à un groupe.

La politique informatique que vous avez attribuée à BlackBerry Domain ou la politique informatique par défaut de BlackBerry Domain est attribuée au compte d'utilisateur.

Vous attribuez une politique informatique à un compte d'utilisateur et des politiques informatiques différentes aux groupes auxquels appartient le compte d'utilisateur.

La politique informatique que vous attribuez à un compte d'utilisateur est prioritaire sur les politiques informatiques que vous attribuez aux groupes auxquels appartient l'utilisateur. Une politique informatique que vous attribuez à un groupe a la priorité sur la politique informatique que vous avez attribuée à BlackBerry Domain (ou la politique informatique par défaut).

Un compte d'utilisateur appartient à plusieurs groupes. Vous attribuez plusieurs politiques informatiques aux groupes, mais vous n'attribuez pas de politique informatique au compte d'utilisateur.

Si vous attribuez plusieurs politiques informatiques aux groupes auxquels appartient le compte d'utilisateur, BlackBerry Enterprise Server résout les paramètres des règles de politique informatique dans les différentes politiques informatiques et attribue une politique informatique combinée ayant un ID unique au compte d'utilisateur. BlackBerry Enterprise Server résout les paramètres en conflit pour les règles de politique informatique en appliquant la règle de la politique informatique que vous avez classée au rang le plus élevé dans BlackBerry Administration Service.

Par exemple, vous configurez la règle de politique informatique Désactiver l'appareil photo sur Oui dans la politique informatique A et sur Non dans la politique informatique B. Si vous classez la politique informatique A à un rang plus élevé que la politique informatique B, le paramètre Oui s'applique à cette règle.

Un compte d'utilisateur appartient à deux groupes. Vous attribuez la politique informatique A au premier groupe, dont le paramètre Règle de politique informatique Autoriser navigateur est vide (ce qui signifie qu'il utilise la valeur par défaut Oui). Vous attribuez la politique informatique B au second groupe, dont la règle de politique informatique Autoriser navigateur est définie sur Non. Vous avez classé la politique informatique A à un rang plus élevé que la politique informatique B dans BlackBerry Administration Service.

Lorsque BlackBerry Enterprise Server corrige les paramètres de règle en conflit, tout paramètre de règle configuré explicitement sur une valeur est prioritaire sur les paramètres de politique informatique vides (la valeur par défaut est rétablie pour ces règles).

Par exemple, dans ce scénario, la règle de politique informatique Autoriser navigateur de la politique informatique B, définie sur Non, est appliquée au compte d'utilisateur bien que la politique informatique A soit classée à un rang plus élevé que la politique informatique B, car les paramètres de la règle de politique informatique Autoriser navigateur sont vides dans la politique informatique A. Si la règle de politique informatique Autoriser navigateur a été configurée sur Oui dans la politique informatique A, la valeur Oui est appliquée au compte d'utilisateur.

Méthode recommandée : contrôle des applications qui peuvent utiliser la fonctionnalité GPS sur un terminal BlackBerry

Par défaut, si une application tierce ou une application BlackBerry® préchargée sur un terminal BlackBerry prend en charge la fonctionnalité GPS, l'application peut utiliser la fonctionnalité GPS. Par exemple, BlackBerry® Maps est une application BlackBerry préchargée qui utilise la fonctionnalité GPS pour permettre à un utilisateur de localiser une position globale.

Méthode recommandée

Description

Contrôlez l'application du terminal BlackBerry qui peut utiliser la fonctionnalité GPS.

Il est recommandé d'empêcher une application tierce ou une application BlackBerry préchargée d'accéder à la position globale du terminal BlackBerry.

Pour appliquer cette méthode recommandée, vous pouvez utiliser l'une des méthodes suivantes :
  • Pour empêcher le terminal BlackBerry d'autoriser toutes les applications tierces et toutes les applications BlackBerry préchargées d'accéder à la fonctionnalité GPS, changez la valeur de la règle de stratégie informatique Désactiver GPS en Oui.
  • Pour empêcher une application tierce d'utiliser la fonctionnalité GPS, changez la valeur de la règle de stratégie de contrôle d'application L'accès à l'API du GPS est-il autorisé ? sur Non autorisé. Attribuez la stratégie de contrôle d'applications à la configuration logicielle.

Contrôlez à quel moment le terminal BlackBerry signale sa position à BlackBerry® Enterprise Server.

Par défaut, le terminal BlackBerry n'utilise pas la fonctionnalité GPS pour signaler sa position à BlackBerry Enterprise Server. Si vous changez la valeur de la règle de stratégie informatique Activer la localisation d'entreprise en Oui, pensez à configurer l'intervalle après lequel un terminal BlackBerry signale son emplacement à BlackBerry Enterprise Server.

Pour appliquer cette méthode recommandée, vous pouvez utiliser la règle de stratégie informatique Intervalle de localisation d'entreprise. Vous pouvez également utiliser la règle de stratégie informatique Message de localisation d'entreprise à l'utilisateur pour créer un message que le terminal BlackBerry affiche pour avertir l'utilisateur que vous avez activé la capacité du terminal BlackBerry à signaler sa localisation à BlackBerry Enterprise Server.

Sujet suivant: Utilisation de commandes d'administration informatiques pour protéger un terminal perdu ou volé
Sujet précédent: Gestion de la sécurité de BlackBerry Enterprise Solution

Ces informations vous ont-elles été utiles ? Envoyez-nous vos commentaires.