7.3. Configuration et contrôle des messages push mobiles¶
Comme tout le reste dans IDERI note, le droit de recevoir des messages push mobiles est configurable à l’aide du mécanisme de sécurité intégré de Windows®. Sur la base de cette fonctionnalité, les utilisateurs ou les groupes Active Directory® peuvent être configurés pour pouvoir recevoir ou pour refuser la réception de messages push mobiles. De plus, la réception de messages push peut être accordée ou refusée même au niveau de l’appareil dans IDERI note. Les sections suivantes présenteront ces deux options en détail. La section 7.3.1 montrera comment la réception des messages push est configurée avec les mécanismes de sécurité Windows® intégrés tandis que la section 7.3.2 montrera comment les appareils individuels peuvent être activés ou désactivés pour la réception des messages push. Notez que toutes ces options de configuration ne sont pas effectuées directement sur l’appareil mobile mais plutôt sur le backend IDERI note. Par conséquent, le terme « droit à recevoir des messages push mobiles » est un peu trompeur : dans un sens technique, cela signifie plutôt « le droit à ce que le serveur IDERI note envoie des messages push » pour l’appareil ou l’utilisateur en question, ce qui est certes plutôt maladroit. Si un utilisateur ou un appareil spécifique n’est pas autorisé à recevoir des messages push, le serveur IDERI note n’envoie tout simplement pas de message push à l’appareil.
7.3.1. Contrôle de la réception des messages push avec sécurité Windows® intégrée¶
Le droit d’accès pour recevoir des messages push est modélisé comme le paramètre de politique de sécurité générale (voir aussi la section 4.4) “Recevoir un push mobile” comme indiqué dans la figure 7.11.
Figure 7.11: Paramètre de stratégie de sécurité générale « Recevoir un push mobile »
Par défaut, les “utilisateurs authentifiés” auront ce droit d’accès prêt à l’emploi, mais cela peut être modifié à volonté. Notez que la figure 7.11 montre également deux autres droits d’accès à la politique de sécurité générale nommés « Énumérer les clients mobiles » et « Gérer les clients mobiles », qui deviendront plus importants au cours des prochaines sections. Pour l’instant, il suffit de savoir que par défaut tous les commettants avec le droit d’accès « Énumérer les clients connectés » auront également le droit d’accès « Énumérer les clients mobiles » et que tous les commettants avec le droit d’accès « Créer un nouveau message » auront le droit d’accès “Gérer les clients mobiles” accordé. De plus, les membres du groupe d’administrateurs locaux auront les deux droits d’accès accordés par défaut.
À l’aide des paramètres généraux de la politique de sécurité, des utilisateurs ou des groupes peuvent se voir accorder ou refuser la réception de messages push mobiles. Accorder le droit de recevoir des messages push à ce niveau de configuration est pratique et probablement suffisant pour la plupart des organisations. Cependant, en plus de cela, IDERI note permet également la configuration de la réception push au niveau de chaque appareil. La section 7.3.2 montrera comment la configuration de la réception push est effectuée au niveau de chaque périphérique.
7.3.2. Contrôle de la réception des messages push au niveau de l’appareil¶
Par défaut, le service IDERI note fonctionne en mode push “automatique”. Dans la section 3.14, les figures 3.71, 3.74 et 3.82 affichent la page intitulée « Push d’appareil mobile » de l’applet du panneau de configuration du service IDERI note avec la case à cocher intitulée “Mode push client mobile automatique” cochée. Décocher cette case fera basculer la configuration du service IDERI note en mode push manuel. Cependant, avant d’effectuer ce changement de configuration, nous avons d’abord besoin d’une compréhension plus approfondie du “mode push client mobile automatique” afin de comprendre les implications du mode push manuel.
Lorsqu’un message IDERI note arrive à échéance et est sur le point d’être transmis aux appareils mobiles, le service IDERI note doit savoir à quels appareils il doit envoyer le message push. A cet effet, le service IDERI note maintient une liste des appareils mobiles qui s’y sont déjà connectés, ainsi que d’autres informations sur les appareils, telles que leur nom d’utilisateur, leur clé publique (pour le cryptage de bout en bout des messages push), leur « jeton push », qui identifie de manière unique l’application et l’appareil pour les services push de la plate-forme (services de notification push Apple pour les appareils iOS/iPadOS ou Firebase Cloud Messaging pour les appareils Android) et d’autres informations telles que l’heure de la dernière connexion et le GUID de connexion de l’appareil. Les principaux Active Directory® avec le droit d’accès à la politique de sécurité générale “Énumérer les clients mobiles” (voir la section 7.3.1) peuvent inspecter ces informations avec le bouton intitulé “Gestion des clients mobiles” sur le panneau de ruban “Divers” de la catégorie “Paramètres” dans l’administrateur IDERI note (voir figure 7.12).
Figure 7.12: Le bouton “Gestion des clients mobiles” dans la zone de contrôle du ruban administrateur IDERI note
Après avoir appuyé sur ce bouton, la fenêtre de dialogue “Management du client Mobile” apparaîtra comme dans la figure 7.13.
Figure 7.13: La fenêtre de dialogue “Gestion des clients mobiles”
Notez que toutes les entrées pour les clients mobiles dans cette boîte de dialogue ont la valeur « Automatique » dans la troisième colonne (« Push activé »). Lors d’un fonctionnement en mode push automatique, le service IDERI note enverra un message push à tous les appareils mobiles auxquels le message est destiné (c’est-à-dire que l’utilisateur de l’appareil figure dans la liste des destinataires du message) et qui disposent du droit d’accès à la politique de sécurité générale « Recevoir le push mobile » (voir la section 7.3.1). Cependant, le service IDERI note envoie un message push uniquement au nombre d’appareils correspondant aux nombre de licences d’appareils mobiles. Il le fait en ordonnant les « appareils candidats » par leur dernière heure de connexion. Si le nombre de licences ne suffit pas pour envoyer le message push à tous les appareils, il ignore les appareils qui ne se sont pas connectés au service IDERI note depuis longtemps.
La plupart des organisations laisseront probablement le mode push client mobile automatique activé, mais si un contrôle plus détaillé ou un nombre fixe d’appareils à pousser est une exigence, le mode automatique doit être désactivé. Pour cela, lancez l’applet du panneau de configuration du service IDERI note et activez l’onglet intitulé « Push client mobile ». Décochez la case intitulée “Mode push client mobile automatique”, appuyez sur le bouton Appliquer et répondez “Oui” si vous êtes invité à redémarrer un service. La figure 7.14 affiche cette page avec le mode push automatique du client mobile désactivé.
Figure 7.14: Mode push mobile automatique désactivé
Après avoir désactivé le mode push automatique du client mobile, invoquez à nouveau la fenêtre de dialogue “Management de client mobile” dans l’administrateur IDERI note. Cette fenêtre de dialogue ressemblera maintenant à la figure 7.15.
Figure 7.15: La fenêtre de dialogue “Management de client mobile” avec le mode push automatique du client mobile désactivé
Notez que la troisième colonne (“Push activé”) est maintenant complètement vide et qu’aucune opération de push vers aucun périphérique n’a lieu dans cet état. Pour qu’un périphérique particulier soit activé pour la réception de messages push, faites un clic droit sur son entrée dans cette boîte de dialogue et un menu contextuel apparaîtra comme dans la figure 7.16.
Figure 7.16: Activation d’un appareil pour la réception push en mode push client mobile manuel
Après avoir activé le push pour la première entrée, comme indiqué sur la figure 7.16, la boîte de dialogue “Management de client mobile” apparaîtra comme dans la figure 7.17, avec l’entrée dans la colonne “Push activé” définie sur “Oui”.
Figure 7.17: Un appareil a été activé pour la réception push en mode push client mobile manuel
C’est désormais le seul appareil qui - si son utilisateur dispose du droit d’accès à la politique générale de sécurité “Recevoir le push mobile” (voir section 7.3.1) - alors le serveur IDERI note enverra une notification push, si son utilisateur est dans la liste des destinataires d’un message IDERI note. Afin d’activer plus d’appareils pour la réception push, répétez les étapes indiquées dans cette section pour chaque appareil individuel. Notez également que le menu contextuel montré dans la figure 7.16 a quelques entrées supplémentaires qui vous permettent de désactiver à nouveau le push pour un appareil compatible push ou de supprimer la connexion mobile. L’activation, la désactivation ou la suppression d’une connexion mobile nécessite le droit d’accès à la politique générale de sécurité « Gérer les clients mobiles » accordé (voir section 7.3.1). La suppression d’un appareil est parfois nécessaire si les utilisateurs désinstallent le client mobile IDERI note à partir de leur appareil mobile ou si un appareil est retiré ou perdu. Il n’y a aucun moyen que le service IDERI note est informé de ces incidents, de sorte qu’un élagage manuel des appareils peut être nécessaire de temps en temps. L’entrée du menu contextuel “Copier” dans la figure 7.16 copie simplement les informations de périphérique sur un seul périphérique sélectionné dans le presse-papiers sous forme de texte.
Si vous appelez l’élément de menu “Propriétés” dans le menu contextuel de la figure 7.16, une page de propriétés pour la connexion de l’appareil mobile apparaîtra comme dans la figure 7.18.
Figure 7.18: Une page de propriétés de connexion d’appareil mobile
Notez que vous pouvez également sélectionner et copier des éléments de texte individuels dans cette page de propriétés à l’aide de la souris ou de la touche de tabulation.