Arrêter les tueurs d'applications : comment protéger les applications MTD à l'aide des privilèges basés sur les rôles AMAPI

Un défi persistant et frustrant dans la mobilité d'entreprise consiste à s'assurer que les applications de sécurité critiques restent actives. Vous déployez une solution de défense contre les menaces mobiles (MTD) de pointe sur votre flotte d'entreprise, pour découvrir ensuite que les appareils ne sont plus conformes. Le coupable ? Les protocoles agressifs d'optimisation de la batterie des constructeurs (OEM) -- souvent appelés « app killers » -- ou des utilisateurs finaux avertis qui forcent manuellement l'arrêt de l'application pour économiser la batterie ou contourner la surveillance.

Pour maintenir une posture de sécurité zero-trust, vos applications MTD doivent s'exécuter silencieusement et continuellement en arrière-plan, 24h/24 et 7j/7. Lorsque les limites d'exécution en arrière-plan d'Android mettent fin à ces applications, votre réseau d'entreprise devient vulnérable au phishing, aux charges utiles malveillantes et aux attaques de l'homme du milieu (man-in-the-middle). Historiquement, la résolution de ce problème nécessitait des scripts JSON complexes et personnalisés, ainsi que des batailles constantes avec les paramètres de batterie spécifiques aux fabricants.

Découvrez comment tirer parti des derniers privilèges basés sur les rôles de l'API de gestion Android (AMAPI) au sein de Nomid MDM pour rendre vos outils de défense contre les menaces mobiles totalement inviolables. En tant que partenaire officiel d'Android Enterprise, Nomid MDM offre une approche fluide, pilotée par interface utilisateur, pour contourner les restrictions agressives du système d'exploitation, garantissant que votre pile de sécurité reste invincible dans les déploiements pour la santé, la vente au détail, l'éducation et la logistique.

Comprendre le problème des « app killers » sur Android

Avant de pouvoir arrêter efficacement les « app killers » d'Android, vous devez comprendre comment le système d'exploitation Android gère les ressources. Pour maximiser l'autonomie de la batterie, Android utilise plusieurs fonctionnalités agressives d'économie d'énergie, notamment le mode Doze et les « App Standby Buckets » (compartiments de mise en veille des applications). Bien qu'excellentes pour les appareils grand public, ces fonctionnalités font des ravages sur les outils de sécurité en entreprise.

Lorsqu'un appareil est débranché et immobile, le mode Doze restreint l'activité du processeur et du réseau en arrière-plan. De plus, les App Standby Buckets catégorisent les applications en fonction de l'interaction de l'utilisateur. Comme les applications MTD sont conçues pour être invisibles pour l'utilisateur, l'OS les classe souvent dans les catégories « Rare » ou « Restreinte », limitant considérablement leur capacité à analyser les menaces ou à envoyer des rapports à la console MDM.

À ce comportement au niveau du système d'exploitation s'ajoute l'intervention de l'utilisateur. Si un employé remarque qu'une application consomme de la batterie, il peut accéder aux paramètres de l'appareil et appuyer sur « Forcer l'arrêt ». Une fois l'arrêt forcé, une application ne peut pas redémarrer d'elle-même tant que l'utilisateur ne la relance pas manuellement. Pour que la protection MTD d'Android Enterprise soit efficace, vous devez neutraliser à la fois l'optimisation de la batterie au niveau de l'OS et la capacité de l'utilisateur à fermer l'application.

La solution Nomid MDM : privilèges basés sur les rôles AMAPI

La solution moderne à ce défi réside dans l'API de gestion Android (AMAPI). Google a introduit des privilèges basés sur les rôles AMAPI (spécifiquement via DelegatedScope) pour permettre aux gestionnaires d'actifs informatiques d'accorder des autorisations élevées, au niveau du système, à des applications spécifiques sans que ces applications n'aient besoin d'être le contrôleur de politique de l'appareil (DPC).

Combiné à des politiques précises d'exemption d'optimisation de la batterie MDM et à des paramètres de verrouillage d'application stricts, Nomid MDM garantit que vos applications Android installées de force deviennent de véritables applications de sécurité inviolables. Que vous déployiez des scanners durcis dans un entrepôt logistique ou des tablettes compatibles Samsung Knox dans un environnement de santé clinique, cette configuration garantit que votre solution MTD survivra aux redémarrages, à l'interférence des utilisateurs et à la gestion agressive des ressources de l'OS.

Tutoriel étape par étape : Rendre les applications MTD inviolables dans Nomid MDM

Suivez ces étapes précises au sein de votre console Nomid MDM pour configurer, déployer et protéger votre application de défense contre les menaces mobiles à l'aide des privilèges basés sur les rôles AMAPI. Ce tutoriel suppose que vous avez déjà lié votre compte Managed Google Play à votre instance Nomid MDM.

Étape 1 : Installation forcée de l'application MTD

Pour garantir que l'application MTD est présente sur l'appareil immédiatement après l'enrôlement Zero-Touch, vous devez la configurer comme une application installée de force. Cela empêche l'utilisateur de la désinstaller.

1. Connectez-vous à votre console d'administration Nomid MDM.
2. Accédez à Applications > Catalogue d'applications dans le menu de navigation de gauche.
3. Cliquez sur Ajouter une application et recherchez votre solution MTD spécifique (par exemple, Lookout, Zimperium ou Microsoft Defender) dans l'iframe Managed Google Play.
4. Approuvez l'application et les autorisations requises, puis cliquez sur Synchroniser.
5. Accédez à Politiques > Profils d'appareils et sélectionnez le profil affecté à vos appareils cibles.
6. Sous l'onglet Applications, localisez votre application MTD et changez le type de déploiement en Installation forcée (équivalent AMAPI : installType: FORCE_INSTALLED).
7. Enregistrez le profil.

Résultat attendu : L'application MTD sera désormais automatiquement téléchargée et installée sur tous les appareils affectés à ce profil sans nécessiter d'interaction de l'utilisateur, et le bouton « Désinstaller » sera désactivé sur l'appareil.

Avertissement : Les applications installées de force consommeront des données réseau lors de la configuration initiale de l'appareil. Si vous déployez via l'enrôlement Zero-Touch sur des réseaux cellulaires dans des environnements de logistique ou de service sur le terrain, assurez-vous que vos forfaits de données tiennent compte de cette charge initiale.

Étape 2 : Appliquer l'exemption d'optimisation de la batterie MDM

Ensuite, vous devez ordonner au système d'exploitation Android d'ignorer cette application spécifique lors de l'application du mode Doze et des limites d'App Standby.

1. Toujours dans la section Profils d'appareils de Nomid MDM, modifiez votre profil cible.
2. Accédez à l'onglet Configurations d'applications avancées.
3. Localisez la section Exemptions d'optimisation de la batterie.
4. Cliquez sur Ajouter une exemption et sélectionnez votre application MTD dans la liste déroulante.
5. Activez le paramètre Exempté de l'optimisation. (Cela utilise la politique AMAPI batteryOptimization: EXEMPTED).
6. Enregistrez vos modifications.

Résultat attendu : Le système d'exploitation Android ne suspendra plus les processus d'arrière-plan de l'application MTD, garantissant une analyse continue des menaces quel que soit le niveau de batterie ou l'état de veille de l'appareil.

Étape 3 : Attribuer des privilèges basés sur les rôles AMAPI (périmètres délégués)

C'est l'étape cruciale pour arrêter les « app killers » d'Android. En déléguant le périmètre d'administrateur de sécurité, vous donnez à l'application MTD l'autorité de surveiller les événements au niveau du système sans être arrêtée par l'OS.

1. Dans la console Nomid MDM, accédez à Sécurité > Privilèges délégués.
2. Cliquez sur Créer une nouvelle délégation.
3. Sélectionnez votre profil d'appareil cible.
4. Dans le champ Application cible, sélectionnez votre application MTD.
5. Dans la liste des Périmètres délégués, cochez la case Administrateur de sécurité (équivalent AMAPI : DELEGATED_SCOPE_SECURITY_ADMIN).
6. Facultatif : Si votre application MTD effectue une protection contre le phishing via un VPN local, cochez également la case Administrateur de l'activité réseau (équivalent AMAPI : DELEGATED_SCOPE_NETWORK_ACTIVITY_LOGS).
7. Cliquez sur Appliquer la délégation.

Résultat attendu : L'application MTD possède désormais des privilèges élevés au niveau du système. L'OS la reconnaît comme un composant de sécurité critique, ce qui réduit considérablement la probabilité d'une interruption inattendue par les protocoles de gestion de la mémoire spécifiques aux constructeurs.

Remarque : Toutes les applications MTD ne sont pas conçues pour accepter tous les périmètres délégués AMAPI. Consultez la documentation de votre fournisseur MTD spécifique pour vous assurer que vous ne déléguez que les périmètres que leur application est programmée pour utiliser.

Étape 4 : Verrouiller les paramètres d'informations de l'application pour empêcher toute manipulation par l'utilisateur

Même avec les protections au niveau de l'OS en place, un utilisateur pourrait toujours essayer d'accéder aux paramètres de l'appareil pour appuyer sur « Forcer l'arrêt » ou effacer les données de l'application. Vous devez bloquer l'accès à ces paramètres.

1. Accédez à Politiques > Profils d'appareils et ouvrez votre profil cible.
2. Allez dans l'onglet Restrictions de l'appareil.
3. Faites défiler jusqu'à la section Gestion des applications.
4. Localisez le paramètre intitulé Autoriser l'utilisateur à modifier les paramètres de l'application et réglez-le sur Désactivé (équivalent AMAPI : modifyAppSettingsDisabled: true).
5. Pour être tout à fait complet, localisez Autoriser l'utilisateur à forcer l'arrêt des applications et réglez-le sur Désactivé.
6. Cliquez sur Publier le profil pour pousser ces modifications vers votre flotte.

Résultat attendu : Lorsqu'un utilisateur accède à Paramètres > Applications > [Application MTD], les boutons « Forcer l'arrêt », « Désinstaller » et « Effacer les données » seront grisés et inaccessibles. L'application est désormais entièrement inviolable.

Vérification de la protection MTD inviolable

Après avoir poussé le profil Nomid MDM mis à jour vers vos appareils, vous devez vérifier que la configuration arrête avec succès les « app killers » d'Android et empêche toute manipulation par l'utilisateur. Prenez un appareil de test ayant reçu le profil mis à jour et effectuez les vérifications suivantes :

• Le test d'arrêt forcé : Accédez à Paramètres > Applications > [Votre application MTD]. Vérifiez que les boutons « Forcer l'arrêt » et « Désinstaller » sont grisés.
• Le test d'optimisation de la batterie : Accédez à Paramètres > Batterie > Optimisation de la batterie (les chemins de menu varient selon le constructeur). Recherchez votre application MTD. Elle devrait indiquer « Non optimisée » et l'utilisateur ne devrait pas pouvoir modifier ce statut.
• Le test de redémarrage : Redémarrez l'appareil. N'ouvrez pas l'application MTD manuellement. Connectez-vous à la console web de votre fournisseur MTD et vérifiez que l'appareil se signale et rapporte son état de santé dans les 5 minutes suivant le démarrage. Cela confirme que l'application se lance automatiquement en arrière-plan.

Si l'appareil réussit les trois tests, vos privilèges basés sur les rôles AMAPI et vos exemptions d'optimisation de la batterie MDM fonctionnent parfaitement.

FAQ de dépannage

Pourquoi mon application MTD se met-elle toujours en veille sur les appareils Samsung ?

Les appareils Samsung utilisent un système de gestion de batterie propriétaire en plus du mode Doze natif d'Android. Bien que la politique d'exemption de batterie de Nomid MDM gère la partie native d'Android, vous devrez peut-être tirer parti de notre intégration profonde de Samsung Knox. Dans la console Nomid MDM, accédez à la section OEMConfig de votre profil, ajoutez le plugin Knox Service Plugin (KSP) et inscrivez explicitement le nom du package de l'application MTD sur la liste blanche dans les paramètres d'optimisation de la batterie Knox.

Le périmètre délégué « Administrateur de sécurité » ne s'applique pas. Que s'est-il passé ?

AMAPI rejettera un périmètre délégué si l'application cible n'est pas installée de force ou si le manifeste de l'application ne déclare pas le support de ce rôle de gestion spécifique. Assurez-vous que l'étape 1 (Installation forcée) est entièrement terminée et synchronisée avant d'appliquer l'étape 3. De plus, vérifiez auprès de votre fournisseur MTD que la version actuelle de leur application prend en charge les périmètres délégués AMAPI.

Les utilisateurs peuvent-ils contourner cela en démarrant en mode sans échec ?

Comment mettre à jour l'application MTD si j'ai verrouillé les modifications d'application ?

Le verrouillage de la restriction « Modifier les paramètres de l'application » empêche l'utilisateur de modifier les états de l'application ; cela n'empêche pas le MDM de mettre à jour l'application. Nomid MDM continuera de pousser silencieusement les mises à jour de l'application MTD via Managed Google Play en arrière-plan, en respectant les politiques de fenêtre de maintenance que vous avez configurées.

L'appareil s'affiche comme « Non conforme » dans Nomid MDM après l'application de ces paramètres. Pourquoi ?

Cela se produit généralement si l'application MTD nécessite que l'utilisateur l'ouvre une fois pour accorder des autorisations locales à l'appareil (comme la localisation ou le stockage) avant de pouvoir s'activer. Pour corriger cela, utilisez les Politiques d'autorisation d'application de Nomid MDM pour accorder automatiquement et silencieusement toutes les autorisations d'exécution requises à l'application MTD. Réglez la politique d'autorisation sur GRANT pour le nom du package MTD spécifique afin qu'aucune interaction de l'utilisateur ne soit requise.

Conclusion

Arrêter les « app killers » d'Android et assurer le fonctionnement continu de votre pile de sécurité n'est plus un jeu de devinettes basé sur des solutions de contournement spécifiques aux constructeurs. En tirant parti des privilèges basés sur les rôles AMAPI, des exemptions d'optimisation de la batterie et des restrictions strictes de gestion des applications, vous pouvez transformer des déploiements mobiles standard en terminaux durcis et zero-trust.

Nomid MDM simplifie la complexité des scripts JSON de l'API de gestion Android, permettant aux gestionnaires d'actifs informatiques de déployer des solutions MTD inviolables en quelques clics. Que vous sécurisiez des données de patients dans le secteur de la santé ou que vous protégiez des systèmes de point de vente dans la vente au détail, la mise en œuvre de ces étapes garantit que vos applications de défense contre les menaces mobiles s'exécuteront sans faille en arrière-plan.

Prêt à expérimenter un déploiement d'appareils ultra-rapide et un contrôle de sécurité inégalé ? Connectez-vous à votre console Nomid MDM dès aujourd'hui pour configurer vos privilèges délégués, ou contactez nos spécialistes de l'intégration Android Enterprise pour optimiser la posture de sécurité de votre flotte.