Abandon de l'outil d'administration des appareils À partir d'Android 9 (niveau d'API 28), certaines règles d'administration seront marquées comme obsolètes lorsqu'elles sont appelées par un administrateur d'appareil. Nous vous recommandons de commencer à vous préparer dès maintenant. Pour en savoir plus et consulter les options de migration, consultez Abandon de l'administrateur d'appareils.
Android prend en charge les applications d'entreprise en proposant l'API Android Device Administration. L'API Device Administration fournit des fonctionnalités d'administration des appareils au niveau du système. Ces API vous permettent de créer des applications axées sur la sécurité qui sont utiles dans les environnements d'entreprise, où les professionnels de l'IT ont besoin d'un contrôle étendu sur les appareils des employés. Par exemple, l'application de messagerie Android intégrée a exploité ces API pour améliorer la compatibilité avec Exchange. Via l'application de messagerie, les administrateurs Exchange peuvent appliquer des règles de mot de passe, y compris des mots de passe alphanumériques ou des codes numériques, sur tous les appareils. Les administrateurs peuvent également effacer à distance (c'est-à-dire rétablir les paramètres d'usine) les téléphones perdus ou volés. Les utilisateurs d'Exchange peuvent synchroniser leurs données de messagerie et d'agenda.
Ce document s'adresse aux développeurs qui souhaitent développer des solutions d'entreprise pour les appareils Android. Il décrit les différentes fonctionnalités fournies par l'API Device Administration pour renforcer la sécurité des appareils Android des employés.
Remarque : Pour savoir comment créer un Work Policy Controller pour les déploiements Android for Work, consultez Créer un Device Policy Controller.
Mode propriétaire de l'appareil headless
Android 14 (niveau d'API 34) introduit le mode Utilisateur système headless (appareils sur lesquels UserManager.isHeadlessSystemUserMode renvoie true). Dans ce mode, l'utilisateur système est un utilisateur en arrière-plan qui s'appuie sur d'autres utilisateurs au premier plan pour interagir avec l'utilisateur final. Android 14 introduit également un mode affilié au propriétaire de l'appareil sans tête, qui ajoute un propriétaire de profil à tous les utilisateurs affiliés, à l'exception de l'utilisateur système sur lequel le propriétaire de l'appareil est défini.
Sur les appareils configurés avec un utilisateur système sans tête (où l'utilisateur système s'exécute en arrière-plan), seules les règles d'appareil de portée globale (règles applicables à tous les utilisateurs) sont appliquées à l'utilisateur ou aux utilisateurs au premier plan. Pour en savoir plus, consultez addUserRestriction.
Les fabricants d'appareils Android peuvent se reporter aux conseils publiés sur source.android.com.
Présentation de l'API Device Administration
Voici des exemples de types d'applications qui peuvent utiliser l'API Device Administration :
- Clients de messagerie.
- Applications de sécurité qui effectuent un effacement à distance
- Services et applications de gestion des appareils.
Fonctionnement
L'API Device Administration vous permet de créer des applications d'administration que les utilisateurs installent sur leurs appareils. L'application d'administration de l'appareil applique les règles souhaitées. Voici le principe de fonctionnement :
- Un administrateur système écrit une application d'administration d'appareil qui applique des règles de sécurité d'appareil à distance/locales. Ces règles peuvent être codées en dur dans l'application, ou l'application peut les récupérer de manière dynamique à partir d'un serveur tiers.
- L'application est installée sur les appareils des utilisateurs. Android ne propose pas actuellement de solution de provisionnement automatisé. Voici quelques-unes des méthodes qu'un administrateur système peut utiliser pour distribuer l'application aux utilisateurs :
- Google Play.
- Autoriser l'installation depuis une autre plate-forme de téléchargement d'applications
- Distribuer l'application par d'autres moyens, tels que des e-mails ou des sites Web
- Le système invite l'utilisateur à activer l'application d'administration de l'appareil. La manière et le moment où cela se produit dépendent de l'implémentation de l'application.
- Une fois que les utilisateurs ont activé l'application d'administration de l'appareil, ils sont soumis à ses règles. Le respect de ces règles offre généralement des avantages, comme l'accès à des systèmes et des données sensibles.
Si les utilisateurs n'activent pas l'application d'administration de l'appareil, celle-ci reste sur l'appareil, mais dans un état inactif. Les utilisateurs ne seront pas soumis à ses règles et n'obtiendront, à l'inverse, aucun des avantages de l'application (par exemple, ils ne pourront peut-être pas synchroniser les données).
Si un utilisateur ne respecte pas les règles (par exemple, s'il définit un mot de passe qui ne respecte pas les consignes), c'est à l'application de décider comment gérer la situation. Toutefois, cela entraîne généralement l'impossibilité pour l'utilisateur de synchroniser les données.
Si un appareil tente de se connecter à un serveur nécessitant des règles non compatibles avec l'API Device Administration, la connexion ne sera pas autorisée. L'API Device Administration n'autorise actuellement pas le provisionnement partiel. En d'autres termes, si un appareil (par exemple, un ancien appareil) n'est pas compatible avec toutes les règles indiquées, il n'est pas possible de l'autoriser à se connecter.
Si un appareil contient plusieurs applications d'administration activées, la règle la plus stricte est appliquée. Il n'existe aucun moyen de cibler une application d'administration spécifique.
Pour désinstaller une application d'administration d'appareil existante, les utilisateurs doivent d'abord la désenregistrer en tant qu'administrateur.
Règles
Dans un environnement d'entreprise, il est souvent nécessaire que les appareils des employés respectent un ensemble strict de règles qui régissent leur utilisation. L'API Device Administration est compatible avec les règles répertoriées dans le tableau 1. Notez que l'API Device Administration n'est actuellement compatible qu'avec les mots de passe pour le verrouillage de l'écran :
Tableau 1. Règles compatibles avec l'API Device Administration.
| Règle | Description |
|---|---|
| Mot de passe activé | Nécessite que les appareils demandent un code ou des mots de passe. |
| Longueur minimale du mot de passe | Définissez le nombre de caractères requis pour le mot de passe. Par exemple, vous pouvez exiger que le code PIN ou les mots de passe comportent au moins six caractères. |
| Mot de passe alphanumérique requis | Les mots de passe doivent comporter une combinaison de lettres et de chiffres. Ils peuvent inclure des caractères symboliques. |
| Mot de passe complexe obligatoire | Les mots de passe doivent contenir au moins une lettre, un chiffre et un symbole spécial. Introduit dans Android 3.0. |
| Nombre minimal de lettres requis dans le mot de passe | Nombre minimal de lettres requis dans le mot de passe pour tous les administrateurs ou pour un administrateur en particulier. Introduit dans Android 3.0. |
| Nombre minimal de lettres minuscules requises dans le mot de passe | Nombre minimal de lettres minuscules requis dans le mot de passe pour tous les administrateurs ou pour un administrateur particulier. Introduit dans Android 3.0. |
| Nombre minimal de caractères autres que des lettres requis dans le mot de passe | Nombre minimal de caractères autres que des lettres requis dans le mot de passe pour tous les administrateurs ou pour un administrateur particulier. Introduit dans Android 3.0. |
| Nombre minimal de chiffres requis dans le mot de passe | Nombre minimal de chiffres requis dans le mot de passe pour tous les administrateurs ou un administrateur en particulier. Introduit dans Android 3.0. |
| Nombre minimal de symboles requis dans le mot de passe | Nombre minimal de symboles requis dans le mot de passe pour tous les administrateurs ou un administrateur en particulier. Introduit dans Android 3.0. |
| Nombre minimal de lettres majuscules requises dans le mot de passe | Nombre minimal de lettres majuscules requis dans le mot de passe pour tous les administrateurs ou pour un administrateur en particulier. Introduit dans Android 3.0. |
| Délai d'expiration du mot de passe | Date d'expiration du mot de passe, exprimée en millisecondes à partir du moment où un administrateur d'appareil définit le délai d'expiration. Introduit dans Android 3.0. |
| Restriction de l'historique des mots de passe | Cette règle empêche les utilisateurs de réutiliser les n derniers mots de passe uniques.
Cette règle est généralement utilisée avec setPasswordExpirationTimeout(), qui oblige les utilisateurs à mettre à jour leurs mots de passe après un certain temps.
Introduit dans Android 3.0. |
| Nombre maximal de tentatives infructueuses de saisie du mot de passe | Indique le nombre de fois où un utilisateur peut saisir un mot de passe incorrect avant que l'appareil ne efface ses données. L'API Device Administration permet également aux administrateurs de rétablir à distance la configuration d'usine de l'appareil. Cela sécurise les données en cas de perte ou de vol de l'appareil. |
| Verrouillage de la durée d'inactivité maximale | Définit le délai écoulé depuis la dernière fois que l'utilisateur a touché l'écran ou appuyé sur un bouton avant que l'appareil ne verrouille l'écran. Dans ce cas, les utilisateurs doivent saisir à nouveau leur code PIN ou leurs mots de passe avant de pouvoir utiliser leurs appareils et accéder aux données. Cette valeur peut être comprise entre 1 et 60 minutes. |
| Exiger le chiffrement du stockage | Indique que la zone de stockage doit être chiffrée, si l'appareil le permet. Introduit dans Android 3.0. |
| Désactiver l'appareil photo | Indique que la caméra doit être désactivée. Notez que cette désactivation n'a pas besoin d'être permanente. La caméra peut être activée/désactivée de manière dynamique en fonction du contexte, de l'heure, etc. Introduit dans Android 4.0. |
Autres fonctions
En plus de prendre en charge les règles listées dans le tableau ci-dessus, l'API Device Administration vous permet d'effectuer les opérations suivantes :
- Invitez l'utilisateur à définir un nouveau mot de passe.
- Verrouiller immédiatement l'appareil
- Effacer les données de l'appareil (c'est-à-dire rétablir sa configuration d'usine)
Application exemple
Les exemples utilisés sur cette page sont basés sur l'exemple d'API Device Administration, qui est inclus dans les exemples de SDK (disponibles via le SDK Manager Android) et se trouve sur votre système sous le nom <sdk_root>/ApiDemos/app/src/main/java/com/example/android/apis/app/DeviceAdminSample.java.
L'application exemple propose une démonstration des fonctionnalités d'administration des appareils. Il présente aux utilisateurs une interface utilisateur qui leur permet d'activer l'application d'administration de l'appareil. Une fois l'application activée, les utilisateurs peuvent utiliser les boutons de l'interface utilisateur pour effectuer les opérations suivantes :
- Définissez la qualité du mot de passe.
- Spécifiez les exigences concernant le mot de passe de l'utilisateur, telles que la longueur minimale, le nombre minimal de caractères numériques qu'il doit contenir, etc.
- Définissez le mot de passe. Si le mot de passe n'est pas conforme aux stratégies spécifiées, le système renvoie une erreur.
- Définissez le nombre de tentatives de saisie de mot de passe pouvant échouer avant que les données de l'appareil ne soient effacées (c'est-à-dire que la configuration d'usine soit rétablie).
- Définissez le délai d'expiration du mot de passe.
- Définissez la longueur de l'historique des mots de passe (length fait référence au nombre d'anciens mots de passe stockés dans l'historique). Cela empêche les utilisateurs de réutiliser l'un des n derniers mots de passe qu'ils ont utilisés précédemment.
- Spécifiez que la zone de stockage doit être chiffrée, si l'appareil le permet.
- Définissez la durée maximale d'inactivité avant le verrouillage de l'appareil.
- Verrouillez immédiatement l'appareil.
- Effacez les données de l'appareil (c'est-à-dire rétablissez la configuration d'usine).
- Désactivez la caméra.
Figure 1 : Capture d'écran de l'application exemple
Développer une application d'administration des appareils
Les administrateurs système peuvent utiliser l'API Device Administration pour écrire une application qui applique l'application des règles de sécurité des appareils à distance/en local. Cette section récapitule les étapes à suivre pour créer une application d'administration d'appareils.
Créer le fichier manifeste
Pour utiliser l'API Device Administration, le fichier manifeste de l'application doit inclure les éléments suivants:
- Sous-classe de
DeviceAdminReceiverqui inclut les éléments suivants :- L'autorisation
BIND_DEVICE_ADMIN - Possibilité de répondre à l'intent
ACTION_DEVICE_ADMIN_ENABLED, exprimé dans le fichier manifeste en tant que filtre d'intent.
- L'autorisation
- Déclaration des règles de sécurité utilisées dans les métadonnées.
Voici un extrait de l'exemple de fichier manifeste d'administration des appareils:
<activity android:name=".app.DeviceAdminSample" android:label="@string/activity_sample_device_admin"> <intent-filter> <action android:name="android.intent.action.MAIN" /> <category android:name="android.intent.category.SAMPLE_CODE" /> </intent-filter> </activity> <receiver android:name=".app.DeviceAdminSample$DeviceAdminSampleReceiver" android:label="@string/sample_device_admin" android:description="@string/sample_device_admin_description" android:permission="android.permission.BIND_DEVICE_ADMIN"> <meta-data android:name="android.app.device_admin" android:resource="@xml/device_admin_sample" /> <intent-filter> <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" /> </intent-filter> </receiver>
Gardez à l'esprit les points suivants :
- Les attributs suivants font référence aux ressources de chaîne qui, pour l'application exemple, se trouvent dans
ApiDemos/res/values/strings.xml. Pour en savoir plus sur les ressources, consultez la section Ressources d'application.android:label="@string/activity_sample_device_admin"fait référence au libellé de l'activité lisible par l'utilisateur.android:label="@string/sample_device_admin"fait référence au libellé lisible par l'utilisateur de l'autorisation.android:description="@string/sample_device_admin_description"fait référence à la description lisible par l'utilisateur de l'autorisation. Une description est généralement plus longue et plus informative qu'une étiquette.
android:permission="android.permission.BIND_DEVICE_ADMIN"est une autorisation qu'une sous-classeDeviceAdminReceiverdoit posséder pour s'assurer que seul le système peut interagir avec le récepteur (aucune application ne peut être autorisée à disposer de cette autorisation). Cela empêche les autres applications d'utiliser l'application d'administration de votre appareil de manière abusive.android.app.action.DEVICE_ADMIN_ENABLEDest l'action principale qu'une sous-classeDeviceAdminReceiverdoit gérer pour être autorisée à gérer un appareil. Ce paramètre est défini sur le destinataire lorsque l'utilisateur active l'application d'administration de l'appareil. Votre code gère généralement cela dansonEnabled(). Pour être compatible, le destinataire doit également exiger l'autorisationBIND_DEVICE_ADMINafin que d'autres applications ne puissent pas en abuser.- Lorsqu'un utilisateur active l'application d'administration de l'appareil, le destinataire est autorisé à effectuer des actions en réponse à la diffusion d'événements système spécifiques. Lorsqu'un événement approprié se produit, l'application peut appliquer une règle. Par exemple, si l'utilisateur tente de définir un nouveau mot de passe qui ne répond pas aux exigences du règlement, l'application peut l'inviter à choisir un autre mot de passe qui répond aux exigences.
- Évitez de modifier le nom du destinataire après avoir publié votre application. Si le nom du fichier manifeste change, l'administrateur de l'appareil est désactivé lorsque les utilisateurs mettent à jour l'application. Pour en savoir plus, consultez
<receiver>. android:resource="@xml/device_admin_sample"déclare les stratégies de sécurité utilisées dans les métadonnées. Les métadonnées fournissent des informations supplémentaires spécifiques à l'administrateur de l'appareil, telles qu'elles sont analysées par la classeDeviceAdminInfo. Voici le contenu dedevice_admin_sample.xml:
<device-admin xmlns:android="http://schemas.android.com/apk/res/android"> <uses-policies> <limit-password /> <watch-login /> <reset-password /> <force-lock /> <wipe-data /> <expire-password /> <encrypted-storage /> <disable-camera /> </uses-policies> </device-admin>
Lorsque vous concevez votre application d'administration d'appareils, vous n'avez pas besoin d'inclure toutes les règles, mais uniquement celles qui sont pertinentes pour votre application.
Pour en savoir plus sur le fichier manifeste, consultez le guide du développeur Android.Implémenter le code
L'API Device Administration inclut les classes suivantes :
DeviceAdminReceiver- Classe de base pour l'implémentation d'un composant d'administration des appareils. Cette classe facilite l'interprétation des actions d'intent brutes envoyées par le système. Votre application d'administration des appareils doit inclure une sous-classe
DeviceAdminReceiver. DevicePolicyManager- Classe permettant de gérer les règles appliquées à un appareil. La plupart des clients de cette classe doivent avoir publié un
DeviceAdminReceiveractuellement activé par l'utilisateur.DevicePolicyManagergère les stratégies d'une ou de plusieurs instancesDeviceAdminReceiver. DeviceAdminInfo- Cette classe permet de spécifier des métadonnées pour un composant d'administrateur d'appareil.
Ces classes constituent la base d'une application d'administration d'appareils entièrement fonctionnelle. Le reste de cette section explique comment utiliser les API DeviceAdminReceiver et DevicePolicyManager pour écrire une application d'administration d'appareils.
Sous-classement de DeviceAdminReceiver
Pour créer une application d'administration d'appareil, vous devez sous-classer DeviceAdminReceiver. La classe DeviceAdminReceiver se compose d'une série de rappels déclenchés lorsque des événements particuliers se produisent.
Dans sa sous-classe DeviceAdminReceiver, l'application exemple affiche simplement une notification Toast en réponse à des événements particuliers. Exemple :
Kotlin
class DeviceAdminSample : DeviceAdminReceiver() { private fun showToast(context: Context, msg: String) { context.getString(R.string.admin_receiver_status, msg).let { status -> Toast.makeText(context, status, Toast.LENGTH_SHORT).show() } } override fun onEnabled(context: Context, intent: Intent) = showToast(context, context.getString(R.string.admin_receiver_status_enabled)) override fun onDisableRequested(context: Context, intent: Intent): CharSequence = context.getString(R.string.admin_receiver_status_disable_warning) override fun onDisabled(context: Context, intent: Intent) = showToast(context, context.getString(R.string.admin_receiver_status_disabled)) override fun onPasswordChanged(context: Context, intent: Intent, userHandle: UserHandle) = showToast(context, context.getString(R.string.admin_receiver_status_pw_changed)) ... }
Java
public class DeviceAdminSample extends DeviceAdminReceiver { void showToast(Context context, String msg) { String status = context.getString(R.string.admin_receiver_status, msg); Toast.makeText(context, status, Toast.LENGTH_SHORT).show(); } @Override public void onEnabled(Context context, Intent intent) { showToast(context, context.getString(R.string.admin_receiver_status_enabled)); } @Override public CharSequence onDisableRequested(Context context, Intent intent) { return context.getString(R.string.admin_receiver_status_disable_warning); } @Override public void onDisabled(Context context, Intent intent) { showToast(context, context.getString(R.string.admin_receiver_status_disabled)); } @Override public void onPasswordChanged(Context context, Intent intent, UserHandle userHandle) { showToast(context, context.getString(R.string.admin_receiver_status_pw_changed)); } ... }
Activer l'application
L'un des événements majeurs qu'une application d'administration d'appareils doit gérer est l'activation de l'application par l'utilisateur. L'utilisateur doit activer explicitement l'application pour que les règles soient appliquées. Si l'utilisateur choisit de ne pas activer l'application, elle sera toujours présente sur l'appareil, mais ses règles ne seront pas appliquées et l'utilisateur ne bénéficiera pas des avantages de l'application.
Le processus d'activation de l'application commence lorsque l'utilisateur effectue une action qui déclenche l'intent ACTION_ADD_DEVICE_ADMIN. Dans l'application exemple, cela se produit lorsque l'utilisateur clique sur la case à cocher Activer l'administrateur.
Lorsque l'utilisateur clique sur la case à cocher Enable Admin (Activer l'administrateur), l'écran change pour inviter l'utilisateur à activer l'application d'administration de l'appareil, comme illustré dans la figure 2.
Figure 2. Application exemple: activation de l'application
Vous trouverez ci-dessous le code exécuté lorsque l'utilisateur clique sur la case Activer l'administrateur. Cela a pour effet de déclencher le rappel onPreferenceChange(). Ce rappel est appelé lorsque la valeur de cet élément Preference a été modifiée par l'utilisateur et qu'elle est sur le point d'être définie et/ou conservée. Si l'utilisateur active l'application, l'écran change pour l'inviter à activer l'application d'administration de l'appareil, comme illustré à la figure 2. Sinon, l'application d'administration de l'appareil est désactivée.
Kotlin
override fun onPreferenceChange(preference: Preference, newValue: Any): Boolean { if (super.onPreferenceChange(preference, newValue)) return true val value = newValue as Boolean if (preference == enableCheckbox) { if (value != adminActive) { if (value) { // Launch the activity to have the user enable our admin. val intent = Intent(DevicePolicyManager.ACTION_ADD_DEVICE_ADMIN).apply { putExtra(DevicePolicyManager.EXTRA_DEVICE_ADMIN, deviceAdminSample) putExtra(DevicePolicyManager.EXTRA_ADD_EXPLANATION, activity.getString(R.string.add_admin_extra_app_text)) } startActivityForResult(intent, REQUEST_CODE_ENABLE_ADMIN) // return false - don't update checkbox until we're really active return false } else { dpm.removeActiveAdmin(deviceAdminSample) enableDeviceCapabilitiesArea(false) adminActive = false } } } else if (preference == disableCameraCheckbox) { dpm.setCameraDisabled(deviceAdminSample, value) } return true }
Java
@Override public boolean onPreferenceChange(Preference preference, Object newValue) { if (super.onPreferenceChange(preference, newValue)) { return true; } boolean value = (Boolean) newValue; if (preference == enableCheckbox) { if (value != adminActive) { if (value) { // Launch the activity to have the user enable our admin. Intent intent = new Intent(DevicePolicyManager.ACTION_ADD_DEVICE_ADMIN); intent.putExtra(DevicePolicyManager.EXTRA_DEVICE_ADMIN, deviceAdminSample); intent.putExtra(DevicePolicyManager.EXTRA_ADD_EXPLANATION, activity.getString(R.string.add_admin_extra_app_text)); startActivityForResult(intent, REQUEST_CODE_ENABLE_ADMIN); // return false - don't update checkbox until we're really active return false; } else { dpm.removeActiveAdmin(deviceAdminSample); enableDeviceCapabilitiesArea(false); adminActive = false; } } } else if (preference == disableCameraCheckbox) { dpm.setCameraDisabled(deviceAdminSample, value); } return true; }
La ligne intent.putExtra(DevicePolicyManager.EXTRA_DEVICE_ADMIN,
mDeviceAdminSample) indique que mDeviceAdminSample (qui est un composant DeviceAdminReceiver) est la règle cible.
Cette ligne appelle l'interface utilisateur illustrée à la figure 2, qui guide les utilisateurs pour ajouter l'administrateur de l'appareil au système (ou leur permet de le refuser).
Lorsque l'application doit effectuer une opération dépendant de l'activation de l'application d'administration de l'appareil, elle confirme que l'application est active. Pour ce faire, il utilise la méthode DevicePolicyManager isAdminActive(). Notez que la méthode DevicePolicyManager isAdminActive() utilise un composant DeviceAdminReceiver comme argument:
Kotlin
private lateinit var dpm: DevicePolicyManager ... private fun isActiveAdmin(): Boolean = dpm.isAdminActive(deviceAdminSample)
Java
DevicePolicyManager dpm; ... private boolean isActiveAdmin() { return dpm.isAdminActive(deviceAdminSample); }
Gestion des règles
DevicePolicyManager est une classe publique permettant de gérer les règles appliquées sur un appareil. DevicePolicyManager gère les règles d'une ou de plusieurs instances DeviceAdminReceiver.
Vous obtenez un gestionnaire de DevicePolicyManager comme suit :
Kotlin
dpm = getSystemService(Context.DEVICE_POLICY_SERVICE) as DevicePolicyManager
Java
DevicePolicyManager dpm = (DevicePolicyManager)getSystemService(Context.DEVICE_POLICY_SERVICE);
Cette section explique comment effectuer des tâches d'administration à l'aide de DevicePolicyManager:
- Définir des règles relatives aux mots de passe
- Définir le verrouillage de l'appareil
- Effacer les données
Définir des règles relatives aux mots de passe
DevicePolicyManager inclut des API permettant de définir et d'appliquer la stratégie de mot de passe de l'appareil. Dans l'API Device Administration, le mot de passe ne s'applique qu'au verrouillage de l'écran. Cette section décrit les tâches courantes liées aux mots de passe.
Définir un mot de passe pour l'appareil
Ce code affiche une interface utilisateur invitant l'utilisateur à définir un mot de passe :
Kotlin
Intent(DevicePolicyManager.ACTION_SET_NEW_PASSWORD).also { intent -> startActivity(intent) }
Java
Intent intent = new Intent(DevicePolicyManager.ACTION_SET_NEW_PASSWORD); startActivity(intent);
Définir la qualité du mot de passe
La qualité du mot de passe peut être l'une des constantes DevicePolicyManager suivantes :
PASSWORD_QUALITY_ALPHABETIC- L'utilisateur doit saisir un mot de passe contenant au moins des caractères alphabétiques (ou d'autres symboles).
PASSWORD_QUALITY_ALPHANUMERIC- L'utilisateur doit saisir un mot de passe contenant au moins à la fois des caractères numériques et alphabétiques (ou autres symboles).
PASSWORD_QUALITY_NUMERIC- L'utilisateur doit saisir un mot de passe contenant au moins des caractères numériques.
PASSWORD_QUALITY_COMPLEX- L'utilisateur doit avoir saisi un mot de passe contenant au moins une lettre, un chiffre et un symbole spécial.
PASSWORD_QUALITY_SOMETHING- La règle exige un type de mot de passe, mais elle n'importe pas lequel.
PASSWORD_QUALITY_UNSPECIFIED- La règle ne requiert aucune exigence concernant le mot de passe.
Par exemple, voici comment vous définiriez la règle de mot de passe pour exiger un mot de passe alphanumérique:
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName ... dpm.setPasswordQuality(deviceAdminSample, DevicePolicyManager.PASSWORD_QUALITY_ALPHANUMERIC)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; ... dpm.setPasswordQuality(deviceAdminSample, DevicePolicyManager.PASSWORD_QUALITY_ALPHANUMERIC);
Définir les exigences concernant le contenu des mots de passe
À partir d'Android 3.0, la classe DevicePolicyManager inclut des méthodes qui vous permettent d'ajuster le contenu du mot de passe. Par exemple, vous pouvez définir une règle stipulant que les mots de passe doivent contenir au moins n lettres majuscules. Voici les méthodes permettant d'affiner le contenu d'un mot de passe :
setPasswordMinimumLetters()setPasswordMinimumLowerCase()setPasswordMinimumUpperCase()setPasswordMinimumNonLetter()setPasswordMinimumNumeric()setPasswordMinimumSymbols()
Par exemple, cet extrait indique que le mot de passe doit comporter au moins deux lettres majuscules :
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName private val pwMinUppercase = 2 ... dpm.setPasswordMinimumUpperCase(deviceAdminSample, pwMinUppercase)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; int pwMinUppercase = 2; ... dpm.setPasswordMinimumUpperCase(deviceAdminSample, pwMinUppercase);
Définir la longueur minimale du mot de passe
Vous pouvez spécifier qu'un mot de passe doit avoir au moins la longueur minimale spécifiée. Exemple :
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName private val pwLength: Int = ... ... dpm.setPasswordMinimumLength(deviceAdminSample, pwLength)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; int pwLength; ... dpm.setPasswordMinimumLength(deviceAdminSample, pwLength);
Définir le nombre maximal de tentatives infructueuses de saisie du mot de passe
Vous pouvez définir le nombre maximal de tentatives de saisie de mot de passe ayant échoué avant l'effacement des données de l'appareil (c'est-à-dire, en rétablissant la configuration d'usine). Exemple :
Kotlin
val dPM:DevicePolicyManager private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName private val maxFailedPw: Int = ... ... dpm.setMaximumFailedPasswordsForWipe(deviceAdminSample, maxFailedPw)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; int maxFailedPw; ... dpm.setMaximumFailedPasswordsForWipe(deviceAdminSample, maxFailedPw);
Définir le délai d'expiration du mot de passe
À partir d'Android 3.0, vous pouvez utiliser la méthode setPasswordExpirationTimeout() pour définir la date d'expiration d'un mot de passe, exprimée en delta en millisecondes à partir du moment où un administrateur d'appareil définit le délai d'expiration. Exemple :
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName private val pwExpiration: Long = ... ... dpm.setPasswordExpirationTimeout(deviceAdminSample, pwExpiration)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; long pwExpiration; ... dpm.setPasswordExpirationTimeout(deviceAdminSample, pwExpiration);
Restreindre les mots de passe en fonction de l'historique
À partir d'Android 3.0, vous pouvez utiliser la méthode setPasswordHistoryLength() pour limiter la possibilité pour les utilisateurs de réutiliser d'anciens mots de passe. Cette méthode reçoit un paramètre length, qui spécifie le nombre d'anciens mots de passe stockés. Lorsque cette règle est active, les utilisateurs ne peuvent pas saisir un nouveau mot de passe qui correspond aux n derniers mots de passe. Cela empêche les utilisateurs d'utiliser le même mot de passe à plusieurs reprises. Cette stratégie est généralement utilisée avec setPasswordExpirationTimeout(), qui oblige les utilisateurs à mettre à jour leurs mots de passe au bout d'un certain temps.
Par exemple, l'extrait suivant interdit aux utilisateurs de réutiliser leurs cinq derniers mots de passe:
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName private val pwHistoryLength = 5 ... dpm.setPasswordHistoryLength(deviceAdminSample, pwHistoryLength)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; int pwHistoryLength = 5; ... dpm.setPasswordHistoryLength(deviceAdminSample, pwHistoryLength);
Configurer le verrouillage de l'appareil
Vous pouvez définir la période maximale d'inactivité de l'utilisateur pouvant se produire avant le verrouillage de l'appareil. Exemple :
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName private val timeMs: Long = 1000L * timeout.text.toString().toLong() ... dpm.setMaximumTimeToLock(deviceAdminSample, timeMs)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; ... long timeMs = 1000L*Long.parseLong(timeout.getText().toString()); dpm.setMaximumTimeToLock(deviceAdminSample, timeMs);
Vous pouvez également programmer le verrouillage immédiat de l'appareil:
Kotlin
private lateinit var dpm: DevicePolicyManager dpm.lockNow()
Java
DevicePolicyManager dpm; dpm.lockNow();
Effacer les données
Vous pouvez utiliser la méthode DevicePolicyManager wipeData() pour rétablir la configuration d'usine de l'appareil. Cela est utile en cas de perte ou de vol de l'appareil. La décision d'effacer l'appareil est souvent prise lorsque certaines conditions sont remplies. Par exemple, vous pouvez utiliser setMaximumFailedPasswordsForWipe() pour indiquer qu'un appareil doit être effacé après un nombre spécifique de tentatives de saisie de mot de passe infructueuses.
Pour effacer les données, procédez comme suit :
Kotlin
private lateinit var dpm: DevicePolicyManager dpm.wipeData(0)
Java
DevicePolicyManager dpm; dpm.wipeData(0);
La méthode wipeData() utilise comme paramètre un masque de bits d'options supplémentaires. Actuellement, la valeur doit être 0.
Désactiver l'appareil photo
À partir d'Android 4.0, vous pouvez désactiver la caméra. Notez que cette désactivation n'a pas besoin d'être définitive. La caméra peut être activée/désactivée de manière dynamique en fonction du contexte, de l'heure, etc.
Vous pouvez contrôler si la caméra est désactivée à l'aide de la méthode setCameraDisabled(). Par exemple, l'extrait de code ci-dessous permet d'activer ou de désactiver l'appareil photo en fonction d'une case à cocher:
Kotlin
private lateinit var disableCameraCheckbox: CheckBoxPreference private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName ... dpm.setCameraDisabled(deviceAdminSample, mDisableCameraCheckbox.isChecked)
Java
private CheckBoxPreference disableCameraCheckbox; DevicePolicyManager dpm; ComponentName deviceAdminSample; ... dpm.setCameraDisabled(deviceAdminSample, mDisableCameraCheckbox.isChecked());
Chiffrement du stockage
À partir d'Android 3.0, vous pouvez utiliser la méthode setStorageEncryption() pour définir une règle exigeant le chiffrement de la zone de stockage, le cas échéant.
Exemple :
Kotlin
private lateinit var dpm: DevicePolicyManager private lateinit var deviceAdminSample: ComponentName ... dpm.setStorageEncryption(deviceAdminSample, true)
Java
DevicePolicyManager dpm; ComponentName deviceAdminSample; ... dpm.setStorageEncryption(deviceAdminSample, true);
Consultez l'exemple d'API Device Administration pour découvrir comment activer le chiffrement du stockage.
Autres exemples de code
Les exemples Android AppRestrictionEnforcer et DeviceOwner illustrent plus en détail l'utilisation des API abordées sur cette page.