Grâce aux messages de résolution et aux messages personnalisés dans l'accès contextuel, vous pouvez aider les utilisateurs à débloquer leur accès lorsqu'une règle les empêche d'ouvrir une application. Ces messages facultatifs (mais recommandés) peuvent aider les utilisateurs à redevenir productifs et contribuent à réduire les demandes d'assistance aux administrateurs.
Par exemple, lorsque les messages de résolution sont activés, si l'utilisateur d'un appareil mobile parvient à consulter Gmail au bureau pendant la journée, mais qu'il est bloqué lorsqu'il tente d'y accéder à la maison le soir, des conseils s'affichent pour lui expliquer comment résoudre ce blocage.
Les messages de résolution et les messages personnalisés sont disponibles pour les niveaux d'accès développés en mode de base et en mode avancé. ainsi que pour les services principaux et les applications SAML.
Utiliser les messages de résolution et les messages personnalisés pour aider les utilisateurs à débloquer leur accès
Lorsqu'ils sont bloqués, les utilisateurs peuvent recevoir les types de messages suivants :
- Message par défaut : s'affiche si vous n'avez ajouté aucun message de résolution ni aucun message personnalisé. Exemple de message par défaut : Le règlement de votre entreprise bloque l'accès à cette application.
- Messages de résolution : remplacent le message par défaut. Chaque message est généré par le système et correspond au cas spécifique de non-respect des règles qui a entraîné le blocage de l'utilisateur.
Les messages de résolution peuvent présenter plusieurs options de résolution à l'utilisateur, qu'il peut développer en cliquant sur Afficher plus d'options. Lorsque plusieurs options de résolution sont disponibles, l'utilisateur doit suivre l'une des procédures proposées pour débloquer son accès. - Message personnalisé : offre une aide spécifique à l'utilisateur, comme des conseils supplémentaires pour débloquer l'accès ou un lien utile sur lequel cliquer. Vous pouvez personnaliser le contenu du message en fonction des besoins. Un message personnalisé peut s'afficher à côté du message par défaut, ou avec des messages de résolution.
Le tableau ci-dessous illustre l'interactivité de ces messages :
| Les messages de résolution sont-ils activés ? | Un message personnalisé a-t-il été ajouté ? | Messages visibles par l'utilisateur |
|---|---|---|
| Non | Non | Message par défaut uniquement |
| Oui | Non | Messages de résolution uniquement. Dans certains cas, le message par défaut peut s'afficher si les messages de résolution ne peuvent pas être générés. |
| Non | Oui | Message par défaut et message personnalisé |
| Oui | Oui | Messages de résolution et message personnalisé |
Lorsque vous définissez une règle d'avertissement pour un attribut, les messages de résolution pour cet attribut sont toujours affichés (et uniquement ceux-là). Vous et les autres administrateurs ne pouvez pas désactiver ces messages. Lorsque les utilisateurs reçoivent une notification d'avertissement concernant une application à laquelle ils tentent d'accéder, ils peuvent consulter plus de détails sur leurs options de résolution.
Comprendre les messages de résolution
Chaque opération de résolution correspond à un attribut qui est à l'origine du refus d'accès (blocage) ou de l'avertissement à l'utilisateur. Si vous avez associé une règle de blocage à un attribut, les messages de résolution indiquent à l'utilisateur qu'il ne peut pas effectuer l'action et lui expliquent comment se conformer à la règle. Si une règle d'avertissement est associée à un attribut, l'utilisateur peut effectuer l'action, mais reçoit des suggestions pour se conformer à la règle.
Différents messages peuvent s'afficher pour le même attribut en fonction du niveau d'accès. Par exemple, si le niveau d'accès est device.screen_lock_enabled == true, le message suivant s'affiche : Définissez un mot de passe pour l'écran de votre appareil. Si le niveau d'accès est device.screen_enabled_enabled == false, le message suivant s'affiche : Supprimez le mot de passe de l'écran de votre appareil. La suppression du mot de passe de l'écran peut présenter un risque pour la sécurité de l'utilisateur. C'est pourquoi il doit confirmer cette action auprès de l'administrateur.
Messages de résolution possibles par attribut et type
Les messages qui s'affichent en réalité peuvent être différents de ceux présentés ci-dessous.
| Attribut | Type de règle | Message |
|---|---|---|
| Approbation de l'administrateur | Bloquer et avertir | Utilisez un appareil approuvé par votre organisation. Contactez votre administrateur si vous n'en avez pas. |
| Bloquer et avertir | Utilisez un appareil non associé à votre organisation. Cette option pouvant présenter un risque pour votre sécurité, soumettez-la à votre administrateur. | |
| Appareil détenu par l'entreprise | Bloquer et avertir | Utilisez un appareil appartenant à votre organisation. Contactez votre administrateur si vous n'en avez pas. |
| Bloquer et avertir | Utilisez un appareil qui n'appartient pas à votre organisation. | |
| Correspondance de profil CTS | Bloquer et avertir | Rétablissez la configuration d'usine de votre appareil. |
| Bloquer | Votre appareil ne peut pas accéder à cette application avec une installation OEM d'Android. Pour en savoir plus, contactez votre administrateur. | |
| Avertissement | L'accès à cette application n'est pas sécurisé avec une installation OEM d'Android. Contactez votre administrateur pour en savoir plus. | |
| Chiffrement | Bloquer et avertir | Utilisez un appareil dont l'état de chiffrement est l'un des suivants : [status1, status2]. |
| Bloquer et avertir | Utilisez un appareil dont l'état de chiffrement n'est pas [état]. | |
| Contient des applications potentiellement dangereuses | Bloquer et avertir | Désinstallez toute application signalée par Google Play Protect comme potentiellement dangereuse. |
| Bloquer | Votre appareil ne peut pas accéder à cette application avec les applications installées actuellement. Pour en savoir plus, contactez votre administrateur. | |
| Avertissement | L'accès à cette application n'est pas sécurisé avec les applications installées actuellement. Contactez votre administrateur pour en savoir plus. | |
| Adresse IP | Bloquer | Vous ne pouvez pas accéder à cette application à partir de votre sous-réseau IP actuel. Contactez votre administrateur pour en savoir plus. |
| Avertissement | L'accès à cette application n'est pas sécurisé à partir de votre sous-réseau IP actuel. Contactez votre administrateur pour en savoir plus. | |
| Type d'OS | Bloquer et avertir | Passez à un appareil qui utilise l'un des systèmes d'exploitation suivants : [os1, os2]. |
| Bloquer et avertir | Passez à un appareil qui n'utilise pas [os1]. | |
| Version d'OS | Bloquer et avertir | Passez à la version [version d'OS X] ou ultérieure. |
| Bloquer et avertir | Mettez à jour votre appareil vers une version d'OS antérieure à [version d'OS X]. | |
| Attributs des partenaires | Bloquer et avertir | Installez [NOM DU PARTENAIRE] sur votre appareil1. |
| Bloquer et avertir | Selon les informations de [PARTNER NAME], votre appareil ne respecte pas certaines exigences2. | |
| Code régional | Bloquer | Vous ne pouvez pas accéder à cette application depuis votre position actuelle. Contactez votre administrateur pour en savoir plus. |
| Avertissement | L'accès à cette application n'est pas sécurisé depuis votre position actuelle. Contactez votre administrateur pour en savoir plus. | |
| Verrouillage de l'écran | Bloquer et avertir | Définissez un mot de passe pour l'écran de votre appareil. |
| Bloquer et avertir | Supprimez le mot de passe de l'écran de votre appareil. Cette option pouvant présenter un risque pour votre sécurité, soumettez-la à votre administrateur. | |
| Vérifier les applications | Bloquer et avertir | Activez Google Play Protect sur votre appareil. |
| Bloquer et avertir | Désactivez Google Play Protect sur votre appareil. | |
| Démarrage validé | Bloquer et avertir | Suivez les instructions du fabricant de votre appareil pour verrouiller le bootloader. |
| Bloquer et avertir | Suivez les instructions du fabricant de votre appareil pour déverrouiller le bootloader. | |
| Système Chrome OS validé | Bloquer et avertir | Installez une version validée de ChromeOS sur votre appareil. |
| Bloquer et avertir | Vous ne pouvez pas accéder à cette application avec un système ChromeOS validé. | |
| Appareil jailbreaké | Bloquer et avertir | Suivez les instructions du fabricant de votre appareil pour rétablir la configuration d'usine. |
| Bloquer | Votre appareil ne peut pas accéder à cette application dans son état actuel. Pour en savoir plus, contactez votre administrateur. | |
| Avertissement | L'accès à cette application n'est pas sécurisé dans l'état actuel de l'appareil. Contactez votre administrateur pour en savoir plus. |
1 Assurez-vous que l'application de sécurité du partenaire (Lookout, par exemple) est installée sur l'appareil. Si elle est installée, mais que l'utilisateur voit toujours ce message, il est possible que l'appareil ne soit pas correctement enregistré dans le MDM du partenaire. Consultez le tableau de bord des partenaires pour le vérifier. Si nécessaire, contactez le partenaire pour résoudre le problème.
2 Consultez l'application partenaire sur l'appareil pour en savoir plus. Si nécessaire, contactez le partenaire pour résoudre le problème.
Comprendre les messages de résolution et les intégrations partenaires tierces
En tant qu'administrateur, vous pouvez intégrer des solutions partenaires tierces compatibles (celles faisant partie de BeyondCorp Alliance) à la gestion des points de terminaison Google dans la console d'administration Google. Ce texte d'information s'affiche dans l'interface des messages de résolution pour expliquer que des messages de partenaires peuvent être disponibles pour les utilisateurs :
Exemple avec Lookout :
Pour en savoir plus, consultez Configurer les intégrations partenaires tierces.
Erreurs courantes à corriger avant que l'utilisateur puisse voir les messages de résolution ou les messages personnalisés
Ces erreurs doivent être résolues pour que les utilisateurs puissent voir les messages de résolution :
Impossible de reconnaître votre appareil. La procédure peut varier selon le type d'appareil.
Google ne reconnaît pas l'appareil de connexion. L'étape de résolution dépend de la plate-forme.
- Ordinateurs : les utilisateurs doivent utiliser un profil Chrome sur lequel l'extension Endpoint Verification est installée. Les utilisateurs ne peuvent pas se connecter aux applications Google Workspace en mode Navigation privée, en mode Invité ou depuis un profil personnel. Notez que ce message d'erreur peut s'afficher lorsqu'un utilisateur tente de se connecter à un nouvel appareil pour la première fois. Dans ce cas, l'utilisateur doit synchroniser son appareil avec l'extension Endpoint Verification et actualiser le navigateur.
- Appareils mobiles : pour que les appareils soient reconnus par l'accès contextuel, ils doivent être gérés par la gestion Google des points de terminaison (gestion de base ou avancée). Pour en savoir plus, consultez Gérer les appareils à l'aide de la gestion des points de terminaison Google. De plus, les appareils devront peut-être être synchronisés pour que Google reconnaisse la connexion. Pour en savoir plus, consultez Synchroniser votre appareil.
Synchroniser votre appareil
- Ordinateurs : les utilisateurs doivent synchroniser leur appareil avec l'extension Endpoint Verification.
Appareils mobiles : les appareils gérés en mode avancé peuvent se synchroniser avec l'application Device Policy. Pour les appareils gérés en mode de base, les utilisateurs peuvent attendre leur synchronisation automatique ou se reconnecter à n'importe quelle application Google. Informez l'utilisateur que la synchronisation de l'appareil peut prendre un certain temps.
Appareils iOS : les sessions Google dans les différentes applications sont suivies à l'aide des sessions ou des jetons dans Safari. Si les jetons Safari sont supprimés (manuellement par l'utilisateur ou par la prévention intelligente du suivi d'Apple), les connexions suivantes ne peuvent pas être mappées à l'appareil connecté d'origine. Par conséquent, les nouvelles connexions peuvent être bloquées et le message "Impossible de reconnaître votre appareil. La procédure peut varier selon le type d'appareil" peut s'afficher si ce message de résolution est activé. Ce problème peut survenir aussi bien sur les appareils gérés en mode de base que ceux gérés en mode avancé.
L'utilisateur doit suivre ces étapes pour débloquer la connexion :
- Il doit supprimer le compte Google d'entreprise de toutes les applications Google. Il doit se déconnecter du compte Google dans Safari et le supprimer de toutes les applications autres que Google qui pourraient l'utiliser.
- Videz le cache et supprimez les cookies dans Safari.
- Il doit se connecter à n'importe quelle application Google propriétaire, telle que Drive ou Gmail.
- Il doit accéder à toutes les autres applications Google propriétaires pour vérifier qu'il y a accès.
- S'il a besoin d'accéder à des applications autres que Google, il doit s'y connecter quelques jours après s'être connecté aux applications Google. S'il ne se connecte pas dans les 30 jours suivant l'étape 3 et que l'application est bloquée, il doit suivre de nouveau cette procédure à partir de l'étape 1.
Implémenter des messages de résolution ou des messages personnalisés
Activer les messages de résolution
-
Dans la console d'administration Google, accédez à Menu
SécuritéAccès et contrôle des donnéesAccès contextuel.Nécessite le niveau d'accès "Sécurité des données" et les droits "Gestion des règles", ainsi que les droits de lecture de l'API Admin pour les groupes et les utilisateurs.
- Cliquez sur Message utilisateur.
- Dans le champ Messages de résolution, cliquez sur DÉSACTIVÉ, puis activez Messages de résolution.
- Cliquez sur Enregistrer.
À ce stade, vous pouvez également ajouter un message personnalisé.
Ajouter un message personnalisé
-
Dans la console d'administration Google, accédez à Menu
SécuritéAccès et contrôle des donnéesAccès contextuel.Nécessite le niveau d'accès "Sécurité des données" et les droits "Gestion des règles", ainsi que les droits de lecture de l'API Admin pour les groupes et les utilisateurs.
- Cliquez sur Message utilisateur.
- Dans le champ Message personnalisé supplémentaire, cliquez sur Message supplémentaire et saisissez votre message.
- (Facultatif) Pour prévisualiser ce que l'utilisateur verra, cliquez sur Aperçu du message.
- Cliquez sur Enregistrer.
Expérience utilisateur pour les messages de résolution et les messages personnalisés
Message par défaut uniquement
Voici un exemple de message que l'utilisateur peut voir si aucun message de résolution ni message personnalisé n'est configuré.
Message par défaut et message personnalisé
Voici un exemple de message que l'utilisateur peut voir si aucun message de résolution n'est configuré, mais qu'un message personnalisé est disponible.
Message de résolution uniquement
Voici un exemple de message que l'utilisateur peut voir si les messages de résolution sont configurés sans message personnalisé. L'utilisateur clique sur Afficher plus d'options pour développer la procédure de résolution.
Messages de résolution et message personnalisé
Voici un exemple de message que l'utilisateur peut voir si des messages de résolution et un message personnalisé sont configurés. L'utilisateur clique sur Afficher plus d'options pour développer la procédure de résolution.
Questions fréquentes sur les messages de résolution et les messages personnalisés de l'accès contextuel
Une opération de résolution peut-elle entraîner d'autres refus d'accès ?
Pourquoi les messages de résolution ne reflètent-ils pas les règles actuelles ?
Quel est le délai d'accès des utilisateurs une fois les opérations de résolution terminées ?
L'accès de l'utilisateur n'est accordé qu'une fois l'appareil synchronisé avec les serveurs Google. L'utilisateur peut essayer de forcer la synchronisation dans certains cas :
- Ordinateur : synchronisation depuis l'extension Endpoint Verification sur Chrome
- Mobile (gestion avancée) : synchronisation depuis l'application Device Policy
- Mobile (gestion de base) : reconnexion pour les appareils gérés en mode de base
De plus, si l'appareil n'est pas conforme aux exigences du partenaire BeyondCorp Alliance, essayez d'effectuer la synchronisation depuis l'application du partenaire. Notez que dans certains cas, la synchronisation manuelle ne fonctionnera pas. L'utilisateur devra donc attendre qu'une synchronisation se produise.
Pourquoi les utilisateurs voient-ils toujours les mêmes options de résolution après avoir suivi la procédure indiquée ?
Pourquoi les options proposées dans les messages de résolution changent-elles sans qu'aucune opération n'ait été effectuée sur l'appareil ?
Pourquoi les messages de résolution ne s'affichent-ils pas alors qu'ils sont activés ?
Les utilisateurs voient-ils le message personnalisé si les messages de résolution sont activés ?
Comment activer les messages de résolution pour les règles relatives aux appareils ?
Pourquoi le message de résolution Impossible de reconnaître votre appareil s'affiche-t-il si l'extension Endpoint Verification se synchronise ?
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.