macleod
Goto Top

Azure User wipe systemweit, auch auf Endgeräten

Hallo zusammen,

hier die nächste kniffelige Aufgabenstellung eines Kunden der seine Firmenstruktur komplett in der MS Cloud realisiert hat. Wir sind bei diesem Kunden nur untergeordnet, unter der internen IT (3 Mann). Dennoch sollen wir oft die Kohlen aus dem Feuer holen.

- Ein externer Mitarbeiter 1, der ein vollverwaltetes Endgerät (W10 Laptop) verwendet hat, scheidet aus der Firma aus.
- Das Endgerät wurde direkt an den nächsten Mitarbeiter 2 übergeben, ohne System Wipe in Entra.
- Die Administration hat MA1 deaktiviert, MA2 aktiviert und direkt die Lizenz zugeschoben. (Business Premium alle)
- Momentan keine weitere Lizenz zum Spielen mehr verfügbar.
- MA2 wurde als primärer Besitzer des Laptops eingetragen, alles funktioniert wie es soll.

Nun gestaltet sich das Ausscheiden von MA1 als nicht ganz reibungslos, es droht ein Arbeitsrechtsstreit. MA1 zieht die DSGVO Joker Karte und unterstellt mangelnde Gesetzeskonformität der Firma, insbesondere seiner Daten auf dem Endgerät. MA1 will sicher stellen, daß da alles gelöscht wird von ihm. Alle sind in heller Aufregung. Die Mitarbeiterdaten sind momentan noch nicht gelöscht in der Cloud, der Account ist nur deaktiviert. Status quo.
Wie könnte man es bewerkstelligen, daß die Userdaten von MA1 auf dem Laptop, also C:\Users\MA1\* gelöscht werden, und man einen Nachweis darüber erhält; und sei es nur ein Logfile? Im Backend wohlgemerkt, nicht auf dem Laptop.
- Das ganze möglichst ohne den üblichen Systemwipe, denn MA2 ist schon im Ausland auf Projekt. Das Autopilot Tralala und Erstsync wäre fatal und würde mindestens 3 Tage Totalausfall bedeuten.
- Ein Zugriff auf das Gerät per Remote wäre die Notlösung, aber aufgrund Zeitverschiebung Mongolei nicht trivial, wenn zumindest 2 zusätzliche Personen die Aktion beobachten und später bezeugen können sollen.

Gibt es dafür einen Automatismus in Azure? Ich persönlich habe ihn zumindest noch nicht gefunden.
Vielen Dank,
MacLeod

Content-Key: 8969349540

Url: https://administrator.de/contentid/8969349540

Printed on: February 23, 2024 at 21:02 o'clock

Member: MirkoKR
MirkoKR Oct 14, 2023 updated at 07:22:57 (UTC)
Goto Top
Moin.

Zunächst mal die Vertragsfrage:

Durfte der MA1 die Ressourcen auch privat nutzen oder sind alle Arbeitsergebnisse Eigentum der Firma?

Nachtrag: Etwas verwirrend formuliert: Batürlich sind Arbeitsergebnisse Eigentum der Firma.

Sollte aber eine Firmenregelung bestehen - schriftlich am Besten, aber auch mündlich OK, wenn Zeugen das bestätigen - hat der MA1 ja ggf. dagegen verstoßen, wenn er trotzdem private Daten gespeichert hat ...

Nachtrag2: MA1 wird sich im Zweifelsfall wohl vorhalten lassen müssen, das ihm ein ggf. solches Problem schon zu Beschäftigungszeiten bekannt war und er ebtsprechend hätte handeln müssen ...

... ich würde vermuten, das er auf Ablöse pokert und vor Gericht scheitern würde ­čĄö
Member: MacLeod
MacLeod Oct 14, 2023 at 08:22:57 (UTC)
Goto Top
Hallo,
vielen Dank fürs Mitdenken. Ja, laut Arbeitsvertrag ist keine private Nutzung des Endgerätes oder des Firmenaccounts erlaubt.
Aber: Als Zugeständnis an den langen Auslandsaufenthalt des MA1 wurde eine Zusatzvereinbarung geschlossen, daß der MA1 einen zusätzlichen IMAP4 Account für seine privaten Mails einbinden darf. Wegen Frau und Kindern etc. Konkret geht es auch nur um diese imap Daten, die auch nur auf diesem Endgerät vorhanden sind. Alles andere liesse sich ja über e-discovery im intune und defender endpoint scannen und über eine entsprechende Löschrichtlinie und abschliessende e-discovery abhandeln. Final nach 90 Tagen zumindest. MA1 will ganz klar auf Kohle aus und pokert auf Ablöse. Drohung ist dieser DSGVO "Verstoß". MA1 stellt sich natürlich als Laie hin und behauptet zurecht, daß selbst wenn er den imap Account gelöscht hätte, er nicht hätte erkennen können, ob auch physisch alle imap Daten gelöscht wären. Das muss man ihm glauben, denn er ist am PC ein DAU, dafür aber ein sehr guter Mechaniker.
Ich persönlich sehe momentan leider nur den weg per remote auf das Gerät zu gehen als MA2, und dort mit lokalem Admin cmd (Azure Admin ist als lokaler Admin enabled am Endgerät) die Daten zu löschen. Idealerweise im Beisein des Anwalts von MA1. Da muss er halt mal Nachts raus. Denn MA2 hat nur dort zu Tageszeiten Internetzugriff am Arbeitsplatz, nicht abends im Hotel.
MfG,
MacLeod
Member: MirkoKR
Solution MirkoKR Oct 14, 2023 at 08:35:00 (UTC)
Goto Top
Ja, IMAP ist ja primär ein Online-Zugriff auf das Postfach. Das löschen/prüfen der Existenz privater Daten daraus mit dem Anwalt halte ich für eine gute Strategie ...

Naja, klingt blöde, aber der Anwalt wird seinem Mandanten wahrscheinlich empfehlen, dem bei Übernahme der Anwaltskosten dafür zuzustimmen ...

Aber auch ein DAU muss sich damit beschäftigen und darf nicht blind vertrauen - ggf. hat eer die Möglichkeit, jemand fachkundigem zu fragen ... liest man täglich in der verschiedenen Konstellationen ... "Unwissenheit schützt vor Strafe nicht" ....
Member: MacLeod
MacLeod Oct 14, 2023 at 08:42:36 (UTC)
Goto Top
Danke,
ich werde den manuellen Lösungsweg per remote vorschlagen. Im Konferenzraum Nachts in der Firma mit Beamer und alle können zugucken. Kaffee/Kuchen kommt dort von Miss Moneypenny, das beruhigt die Gemüter. Wird allemal günstiger als ein Rechtsverfahren oder der verhandelbare Ertrag aus einer Ablöse.
MfG,
MacLeod
Member: Starmanager
Starmanager Oct 14, 2023 at 09:10:44 (UTC)
Goto Top
Im Intune kann man jedes Geraet loeschen bzw. zuruecksetzen. Unter den Eigenschaften der Geraete. Was ihr da gemacht habt ist grundsaetzlich falsch. Die Mailbox des alten Mitarbeiters kann man in eine shared Malibox im Exchange Portal umwandeln und dann die Lizenz dem neuen User geben. Danach kann man die shared mailbox dem neuen User einhaengen wenn er es brauchen sollte. So hat er nur Zugriff auf die Mailbox der Firma. Das alte Profil durchsuchen und die wichtigen Daten kopieren und dann einfach das Profil loeschen. So sollte der Datenschutz dann auch richtig funktionieren. So kann man den Rechner einem anderen Mitarbeiter geben ohne dass er die private Mailbox des alten Mitarbeiters aufmachen kann.
(Achtung: Das ist keine Rechtsberatung)

Schoene Gruesse.
Member: MirkoKR
MirkoKR Oct 14, 2023 at 09:11:36 (UTC)
Goto Top
Im Prinzip sollte es reichen, nachzuweisen, das die zum IMAP-Konto gehörende Datei im Mailer-Ordner gelöscht wurde und auch nicht mehr im Papierkorb vorliegt.

Man könnte additiv auch mit sdelete (SysInternals) den freien Speicher auf C:\ wipen.

Da muss man aber die Verhältnismäßigkeit berücksichtigen ...
Member: MirkoKR
MirkoKR Oct 14, 2023 at 09:19:26 (UTC)
Goto Top
Prinzipiell würde och aber sagen. das auch die Kpnfiguration des IMAP-Kontos - also so, das die Mailbox NICHT lokal gespeichert wird, in der Verantwortung des Benutzers, ggf. mit Unterstützung fachkundiger, liegt...

Und: in Anlehnung am Beitrag von @Starmanager: Natürlich auch von mir keine Rechtsberatung face-wink
Member: TwistedAir
TwistedAir Oct 14, 2023 at 11:59:26 (UTC)
Goto Top
Moin,

ist es denn zeitkritisch? Oder könntest du ein weiteres Notebook vorbereiten, an MA2 schicken und wenn dieses wie gewünscht läuft, das umstrittene Notebook zurückschicken lassen. Danach könnt ihr gemeinsam mit dem Amwalt zu einem euch genehmen Zeitpunkt mit dem Teil machen, was ihr wollt. face-wink

Gruß
TA
Member: MacLeod
MacLeod Oct 14, 2023 at 14:59:06 (UTC)
Goto Top
Zitat von @TwistedAir:

Moin,

ist es denn zeitkritisch? Oder könntest du ein weiteres Notebook vorbereiten, an MA2 schicken und wenn dieses wie gewünscht läuft, das umstrittene Notebook zurückschicken lassen. Danach könnt ihr gemeinsam mit dem Amwalt zu einem euch genehmen Zeitpunkt mit dem Teil machen, was ihr wollt. face-wink

Gruß
TA

Hallo
Wäre auch eine Lösung, aber wir reden hier von Arbeitsort Mongolei. Dürfte sicher 2-3 Wochen dauern bis da was ankommt. So ist es zumindest mit Ersatzteilen. Firma hätte das gerne vom Tisch. Und solange ist MA1 freigestellt und wird leider voll bezahlt. Firma hofft das in den nächsten Tagen zu erledigen. Ich stehe gerne für Nachtarbeit zur Verfügung bei sowas.
MfG,
MacLeod
Member: MacLeod
MacLeod Oct 17, 2023 at 07:39:24 (UTC)
Goto Top
Hallo
Kurzes Feedback. Problem wurde heute Nacht über Live Zugriff auf das Endgerät gelöst. 2 Herrschaften konnten zusehen. Einer live im Büro, der andere über Anydesk. Danke an alle.
MfG,
MacLeod