Bring your own device absichern
Hallo
ich habe aktuell das Problem, dass ich in einem kleinen Unternehmen(30Mitarbeiter) BYOD(Bring your own device) sicher umsetzen soll. Die Mitarbeiter sollen von zu Hause aus oder auf Dienstreise auf die Firmendaten zugreifen können. Hierbei sollen sie ihre privaten Geräte nutzen können. (Die Firma möchte nicht für alle Mitarbeiter Hardware kaufen; Kostenfaktor)
Anforderungen an Funktionsumfang:
- Zugriff auf die Firmen-Server/Daten
- lokales bearbeiten von Firmendaten(dafür temporär auf dem Gerät speichern)
- zeitweise offline arbeiten(z.B. unterwegs, wenn kein Internet vorhanden ist)
Vor allem geht es hierbei um Windows-PCs und Android Geräte. Den sicheren Zugriff kann ich mittels VPN und Active Directory(DC) problemlos realisieren. Leider habe ich das Problem, dass ich kaum Einfluss auf die Endgeräte habe.
Virenschutz und Firewall: Ich habe leider wenig Einfluss bzw. Monitoring-Möglichkeiten, ob der Virenschutz aktiv ist und ob sich das Geräte hinter einer sicheren Firewall ist. Wenn der Anwender z.B. in einem offenen WLAN ist, schützt lediglich die Windows eigene Firewall. (Nach meinen Recherchen bringen Dritt-Anbieter-Firewalls keinen zusätzlich Schutz. Gerne korrigieren, wenn ich falsch liege) Zusätzlich kann ich nicht kontrollieren, ob der Virenschutz aktiv ist. Da der Rechner auch offline genutzt werden soll und auch mal mehrere Tage/Wochen gar nicht eingeloggt sein kann, bringt mir Monitoring nix. Ansonsten kriege ich ständige nur Fehlalarme, die ich nicht mal kontrollieren kann.
Einbruch in BYOD = Einbruch ins ganze Netz: Die Fimenserver sind innerhalb des internen Netzwerks auch "nur" durch die Windows-Firewall geschützt. (Und natürlich Passwort + Virenschutz). Ansonsten befinden sie sich im selben Netzwerk-Segment, wie die BYOD Geräte und die Fimen-Desktops. Das hat 2 Gründe. 1.) Ist es kompliziert in einer Domäne Geräte (vor allem den Domaincontroller) hinter einer eigenen Firewall zu verstecken.(DC unterstützt z.B. kein NAT) 2.) Liegen sowieso ein Großteil der wichtigen Daten, auf einfachen UNC Freigaben, auf die jeder Mitarbeiter Zugriff hat. Sowie temporär auf den Desktops und BYOD Geräten.
Hab ihr Ideen zu meinen Punkten? Gibt es zu meinen Punkten fertige Richtlinien/Empfehlungen? Hab schon häufiger Software gesehen mit der man BYOD Geräte verwalten kann/soll. Die die ich gefunden habe, bringe aber auch keinen Mehrwert an Sicherheit.
Danke für die Tipps
ich habe aktuell das Problem, dass ich in einem kleinen Unternehmen(30Mitarbeiter) BYOD(Bring your own device) sicher umsetzen soll. Die Mitarbeiter sollen von zu Hause aus oder auf Dienstreise auf die Firmendaten zugreifen können. Hierbei sollen sie ihre privaten Geräte nutzen können. (Die Firma möchte nicht für alle Mitarbeiter Hardware kaufen; Kostenfaktor)
Anforderungen an Funktionsumfang:
- Zugriff auf die Firmen-Server/Daten
- lokales bearbeiten von Firmendaten(dafür temporär auf dem Gerät speichern)
- zeitweise offline arbeiten(z.B. unterwegs, wenn kein Internet vorhanden ist)
Vor allem geht es hierbei um Windows-PCs und Android Geräte. Den sicheren Zugriff kann ich mittels VPN und Active Directory(DC) problemlos realisieren. Leider habe ich das Problem, dass ich kaum Einfluss auf die Endgeräte habe.
Virenschutz und Firewall: Ich habe leider wenig Einfluss bzw. Monitoring-Möglichkeiten, ob der Virenschutz aktiv ist und ob sich das Geräte hinter einer sicheren Firewall ist. Wenn der Anwender z.B. in einem offenen WLAN ist, schützt lediglich die Windows eigene Firewall. (Nach meinen Recherchen bringen Dritt-Anbieter-Firewalls keinen zusätzlich Schutz. Gerne korrigieren, wenn ich falsch liege) Zusätzlich kann ich nicht kontrollieren, ob der Virenschutz aktiv ist. Da der Rechner auch offline genutzt werden soll und auch mal mehrere Tage/Wochen gar nicht eingeloggt sein kann, bringt mir Monitoring nix. Ansonsten kriege ich ständige nur Fehlalarme, die ich nicht mal kontrollieren kann.
Einbruch in BYOD = Einbruch ins ganze Netz: Die Fimenserver sind innerhalb des internen Netzwerks auch "nur" durch die Windows-Firewall geschützt. (Und natürlich Passwort + Virenschutz). Ansonsten befinden sie sich im selben Netzwerk-Segment, wie die BYOD Geräte und die Fimen-Desktops. Das hat 2 Gründe. 1.) Ist es kompliziert in einer Domäne Geräte (vor allem den Domaincontroller) hinter einer eigenen Firewall zu verstecken.(DC unterstützt z.B. kein NAT) 2.) Liegen sowieso ein Großteil der wichtigen Daten, auf einfachen UNC Freigaben, auf die jeder Mitarbeiter Zugriff hat. Sowie temporär auf den Desktops und BYOD Geräten.
Hab ihr Ideen zu meinen Punkten? Gibt es zu meinen Punkten fertige Richtlinien/Empfehlungen? Hab schon häufiger Software gesehen mit der man BYOD Geräte verwalten kann/soll. Die die ich gefunden habe, bringe aber auch keinen Mehrwert an Sicherheit.
Danke für die Tipps
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263636
Url: https://administrator.de/contentid/263636
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
18 Kommentare
Neuester Kommentar
Zitat von @Mimemmm:
Vor allem geht es hierbei um Windows-PCs und Android Geräte. Den sicheren Zugriff kann ich mittels VPN und Active
Directory(DC) problemlos realisieren. Leider habe ich das Problem, dass ich kaum Einfluss auf die Endgeräte habe.
Vor allem geht es hierbei um Windows-PCs und Android Geräte. Den sicheren Zugriff kann ich mittels VPN und Active
Directory(DC) problemlos realisieren. Leider habe ich das Problem, dass ich kaum Einfluss auf die Endgeräte habe.
Das ist der Knackpunkt, warum das so nicht funktioneirt. Solange Du nicht die Hoheit über die Endgeräte hast, hast Du das Problem, daß Du den Zugriff auf das Netz so einschränken mußt, daß nur der Zugriff die absolut notwendigen Dienste erlaubt werden sollte, am besten in einem isolierten "Gastnetz".
Ansonsten mußt die Firma in den sauren Apfel beißen udn den Mitarbeitern etsprechende geräte zur Verfügugn stellen, zur Not halt 300€-Notebooks und 100€-Androiden., wenn man unbedingt sparen will.
lks
Guten Abend,
klär zuerst die rechtliche Seite (Dienstvereinbarungen, Mehrkostenabrechung, Eingriff in die Privatsphäre, etc...) ab und du musst dir keine Gedanken mehr um die technische Umsetzung machen. Es gibt so viele rechtliche und organisatiorische Fallen, da wird dein Arbeitgeber schnell wieder von der Idee abrücken. Mehr sagt dir ein Anwalt und der Personlrat...
Gruß,
Dani
P.S. Lesestoff für heute Nacht:
http://www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf
http://www.datenschutz-berlin.de/content/themen-a-z/byod
https://www.gdd.de/downloads/materialien/aufsaetze/Franck_Aufsatz.pdf
https://www.edvgt.de/media/Tagung13/Praesentationen/PrOtter.pdf
klär zuerst die rechtliche Seite (Dienstvereinbarungen, Mehrkostenabrechung, Eingriff in die Privatsphäre, etc...) ab und du musst dir keine Gedanken mehr um die technische Umsetzung machen. Es gibt so viele rechtliche und organisatiorische Fallen, da wird dein Arbeitgeber schnell wieder von der Idee abrücken. Mehr sagt dir ein Anwalt und der Personlrat...
Die Mitarbeiter sollen von zu Hause aus oder auf Dienstreise auf die Firmendaten zugreifen können. Hierbei sollen sie ihre privaten Geräte nutzen können. (Die Firma möchte nicht für alle Mitarbeiter Hardware kaufen; Kostenfaktor)
Das ist typisch Arbeitgeber... ich als Angestellter würde es kategorisch ablehnen. Was passiert, wenn die IT das falsche Gerät löscht oder Apps sperrt.Gruß,
Dani
P.S. Lesestoff für heute Nacht:
http://www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf
http://www.datenschutz-berlin.de/content/themen-a-z/byod
https://www.gdd.de/downloads/materialien/aufsaetze/Franck_Aufsatz.pdf
https://www.edvgt.de/media/Tagung13/Praesentationen/PrOtter.pdf
Zitat von @Mimemmm:
Macht keinen großen Unterschied. Wenn die Mitarbeiter die Firmengeräte mitnehmen, verliere ich darüber trotzdem
die Kontrolle und die oben genannten Punkte sind 1:1 die selben. Es hat sich nur der Besitzer gewechselt. Was sie damit nun
wirklich treiben und wann und wie sie online gehen, liegt immer noch nicht in meinem Einflussbereich.
Macht keinen großen Unterschied. Wenn die Mitarbeiter die Firmengeräte mitnehmen, verliere ich darüber trotzdem
die Kontrolle und die oben genannten Punkte sind 1:1 die selben. Es hat sich nur der Besitzer gewechselt. Was sie damit nun
wirklich treiben und wann und wie sie online gehen, liegt immer noch nicht in meinem Einflussbereich.
Du mußt die Maschinen so konfigurieren, damit sie eben nicht alles mögliche damit treiben können. Wozu bist Du Admin?
lks
Zitat von @Mimemmm:
. Sobald die Geräte die Firma verlassen endet (alleine aus technischen
Gründen) mein Einflussbereich.
. Sobald die Geräte die Firma verlassen endet (alleine aus technischen
Gründen) mein Einflussbereich.
Eben nicht. Du mußt dafür sorgen, daß die leute wirklich nur das machen können, was sie auch dürfen udn alles andere abblocken. z.B. Keien Adminrechte und verbindugn an jedem Internetanschluß nur üebr VPN zu euch.
lks
Bzw ist das nicht meine Aufgabe und für solche Fragen bin ich nicht kompetent.
Mag sein, Aber Unwissenheit schützt vor Strafe nicht. In diesem Fall machst du das für dich und nicht für deinen Chef. Denn du haftest persönlich für die Verstöße als ausführende Kraft. Frag einen Rechtsverdreher...Viel schlimmer ist noch, wenn ein Mitarbeiter behauptet: Seit du an seinem privaten Gerät (PC, Smartphone, etc...) eingerichtet hast, geht das und das nicht mehr oder Daten sind verschwunden. Was dann?
- Zugriff auf die Firmen-Server/Daten
Für Windows Rechner gibts einen SSL-VPN-Zugang auf einem RDS-Host.Für IPad haben wir zwei Apps, Microsoft Workfolders und Office. Obs beides für Android verfügbar ist, k.A. Wir haben im Unternehmen ausschließlich Apple. :-P
Für Dienstnotebooks ist DirectAccess und Microsoft Workfolders eingerichtet.
- lokales bearbeiten von Firmendaten(dafür temporär auf dem Gerät speichern)
Nur auf Dienstgeräten möglich.- zeitweise offline arbeiten(z.B. unterwegs, wenn kein Internet vorhanden ist)
Microsoft Workfolders, aber nur auf dienstlichen Notebooks.Virenschutz und Firewall: Ich habe leider wenig Einfluss bzw. Monitoring-Möglichkeiten, ob der Virenschutz aktiv ist und ob sich das Geräte hinter einer sicheren Firewall ist. Wenn der Anwender z.B. in einem offenen WLAN ist, schützt lediglich die Windows eigene Firewall. (Nach meinen Recherchen bringen Dritt-Anbieter-Firewalls keinen zusätzlich Schutz. Gerne korrigieren, wenn ich falsch liege) Zusätzlich kann ich nicht kontrollieren, ob der Virenschutz aktiv ist. Da der Rechner auch offline genutzt werden soll und auch mal mehrere Tage/Wochen gar nicht eingeloggt sein kann, bringt mir Monitoring nix. Ansonsten kriege ich ständige nur Fehlalarme, die ich nicht mal kontrollieren kann.
Tja.. in den saueren Apfel wirst du beißen müssen. Da du auf prviaten Geräte keinerlei Einfluss hat.Bei uns prüft der SSL-VPN Agent (Bezogen auf Rechnersysteme) ob Virenschutz und Firewall aktiv ist, vorgeschriebene Browsertypen und Versionen eingesetzt werden, ob er versucht über WLAN sich zu verbinden, etc...
Gruß,
Dani
Zitat von @Lochkartenstanzer:
Eben nicht. Du mußt dafür sorgen, daß die leute wirklich nur das machen können, was sie auch dürfen udn
alles andere abblocken. z.B. Keien Adminrechte und verbindugn an jedem Internetanschluß nur üebr VPN zu euch.
Eben nicht. Du mußt dafür sorgen, daß die leute wirklich nur das machen können, was sie auch dürfen udn
alles andere abblocken. z.B. Keien Adminrechte und verbindugn an jedem Internetanschluß nur üebr VPN zu euch.
Wenn das Gerät außerhalb des Betriebs ist, kann ein (motivierter und fähiger) Mitarbeiter oder Dritter immer damit machen, was er will, da hat er schon Recht. Die Hürden mögen dank Verschlüsselung relativ hoch liegen, aber allgemein ist das Vertrauen in gemanagte Umgebungen verglichen mit BYOD viel zu hoch.
Entscheidend gegen BYOD sprechen m.E. wirklich die angesprochenen rechtlichen Unterschiede, weil der Arbeitnehmer auf seinem Gerät "dürfen muss", was man auf dem Firmengerät gerade zu verhindern versucht, und weil Incident Response auf dem privaten Gerät nicht oder nur mit hohen juristischen Hürden umsetzbar ist.
Wenn nun die unternehmerische Entscheidung zu BYOD oder Mobilität generell gefallen ist, ist damit zwangsläufig auch das Sicherheitsniveau abgesenkt. Darüber ist technisch nicht hinweg zu täuschen.
Grüße
Richard
Zitat von @Mimemmm:
> Zitat von @Lochkartenstanzer:
> Du mußt die Maschinen so konfigurieren, damit sie eben nicht alles mögliche damit treiben können. Wozu bist
Du
> Admin?
Das ist aber auch nur sehr begrenzt möglich:
Bist du wirklich richtiger Admin oder versuchst du nur irgendwie, irgendwas zu basteln?> Zitat von @Lochkartenstanzer:
> Du mußt die Maschinen so konfigurieren, damit sie eben nicht alles mögliche damit treiben können. Wozu bist
Du
> Admin?
Das ist aber auch nur sehr begrenzt möglich:
-Firwall: Die Hardware-Firewall fehlt weiterhin. Es bleibt nur die Windows eigene
Macht nichts, solange der Traffic über ein verschlüsseltes VPN läuft!
-Virenschutz/Updates: Ich kann nicht (zuverlässig) kontrollieren, ob der Virenschutz aktiv ist, die Definitionen geladen
werden/wurde, ob die Windows-Updates erfolgreich durchgelaufen sind. Die aktuellen Virenschutzprodukte schalten sich z.B.
teilweise selber ab, wenn die Lizenzprüfung (warum auch immer) fehlschlägt.
Sobald eine Verbindung da ist, kannst du das!werden/wurde, ob die Windows-Updates erfolgreich durchgelaufen sind. Die aktuellen Virenschutzprodukte schalten sich z.B.
teilweise selber ab, wenn die Lizenzprüfung (warum auch immer) fehlschlägt.
-Rechte: Ich muss noch so viele Rechte lassen, dass sich Updates einspielen lassen.
Musst du nicht! Dafür gibt es WSUS o.Ä.!Das ist schon alleine für die eingesetzte
Betriebssoftware nötig. Damit können sich natürlich wieder Viren einschleusen und das OS manipuliert werden. Auf
diese Weise lässt sich sicher auch der Virenschutz angreifen.
Dann hast du als Admin irgendetwas grundlegend falsch gemacht!Betriebssoftware nötig. Damit können sich natürlich wieder Viren einschleusen und das OS manipuliert werden. Auf
diese Weise lässt sich sicher auch der Virenschutz angreifen.
Vielleicht habe ich euch missverstanden, aber bislang weiß ich nicht nicht, wie ich diese Punkte lösen kann.
Sorry, aber bist du sicher, dass du der Richtige bist um das umzusetzen? Im Moment hapert es ja schon daran, firmeneigene Geräte so zu konfigurieren, dass die User vernünftig und sicher von Remote arbeiten können, wie willst du das dann noch für BYOD auf die Reihe kriegen?
Hallo ,
sorry, aber als Arbeitnehmer, sowohl als Admin als auch Außendienstler würde ich mich ganz erheblich darüber aufregen das mein Arbeitgeber von mir verlangt das ich meine eigenen Gerät einsetzen muss!
Für mich die vollkommen falsche Firmenpolitik.
Anscheinend ist der Firmenleitung nicht klar welches Risiko sie eingeht, ein Vireneinbruch in eure Server und so ene Unternehmen ist ganz schnell pleite.
Und, wenn ich als Arbeitnehmer gezwungen bin meine Privathardware einzusetzen und damit etwas schief geht weil eure Server die Viren munter weiterverteilen mache ich meinen Arbeitgeber dafür haftbar.
Für mich bedeutet eine solche Geschäftspraxis, das ich mir einen anderen Arbeitgeber suche.....
brammer
sorry, aber als Arbeitnehmer, sowohl als Admin als auch Außendienstler würde ich mich ganz erheblich darüber aufregen das mein Arbeitgeber von mir verlangt das ich meine eigenen Gerät einsetzen muss!
Für mich die vollkommen falsche Firmenpolitik.
Anscheinend ist der Firmenleitung nicht klar welches Risiko sie eingeht, ein Vireneinbruch in eure Server und so ene Unternehmen ist ganz schnell pleite.
Und, wenn ich als Arbeitnehmer gezwungen bin meine Privathardware einzusetzen und damit etwas schief geht weil eure Server die Viren munter weiterverteilen mache ich meinen Arbeitgeber dafür haftbar.
Für mich bedeutet eine solche Geschäftspraxis, das ich mir einen anderen Arbeitgeber suche.....
brammer
Hallo.
Das ist zwar keine Lösung für Android, aber hast su schon über sowas wie Thinstation nachgedacht.
Wir hatten ein ähnliches Problem und haben den Fernzugriff darüber gelöst.
Die Mitarbeiterin hat jetzt einen Boot-Stick, der sich beim booten automatisch mit dem VPN verbindet und eine Remotedesktop Sitzung öffnet. Im Hintergrund läuft Linux, Daten können auf dem Stick zwischengespeichert werden und den Zugriff auf die HDD des Laptops kann man unterdrücken.
Das ist zwar keine Lösung für Android, aber hast su schon über sowas wie Thinstation nachgedacht.
Wir hatten ein ähnliches Problem und haben den Fernzugriff darüber gelöst.
Die Mitarbeiterin hat jetzt einen Boot-Stick, der sich beim booten automatisch mit dem VPN verbindet und eine Remotedesktop Sitzung öffnet. Im Hintergrund läuft Linux, Daten können auf dem Stick zwischengespeichert werden und den Zugriff auf die HDD des Laptops kann man unterdrücken.
Hi,
gehen wir das Thema mal ganz anders. So hat meine damalige Firme auch einiges gelöst. Jeder PC könnte von überall drauf zugreifen.
Was hälst du von einem Terminalserver, welcher über remote Apps von außen erreichbar ist? Ein Kollege startet Outlook auf den Remote Apps und hat die Netzlaufwerke der Firma in Outlook zur verfügung. funktioniert mit android/Windows und MACs, welche eine RDP Session etablieren können.
Andere Grundlegende Fragen sind da zwar nicht geklärt. Dein Terminal Server kannst du so konfigurieren, das man nicht hoch und runterladen darf vom lokalen Client und nur die "RDP Session" nutzen darf. Ausgenommen sind Drucker. So kann jeder seinen Drucker zu Hause verwenden.,
Bringt dich das thema ein wenig weiter?
PS: Ich schließ mich selbstverständlich meinen vorrednern an. In so einer Fimra würde ich auch überlegen, ob ich dort länger bleiben will. In der IT MUSS man Geld investieren um aktuell zu bleiben. Und nur durch sowas kommst du persönlich auch weiter und bleibst nicht stehen. Denk bitte am besten drüber nach, ob diese Politik für deine IT-Zukunft gut ist.
Gruß Sven
gehen wir das Thema mal ganz anders. So hat meine damalige Firme auch einiges gelöst. Jeder PC könnte von überall drauf zugreifen.
Was hälst du von einem Terminalserver, welcher über remote Apps von außen erreichbar ist? Ein Kollege startet Outlook auf den Remote Apps und hat die Netzlaufwerke der Firma in Outlook zur verfügung. funktioniert mit android/Windows und MACs, welche eine RDP Session etablieren können.
Andere Grundlegende Fragen sind da zwar nicht geklärt. Dein Terminal Server kannst du so konfigurieren, das man nicht hoch und runterladen darf vom lokalen Client und nur die "RDP Session" nutzen darf. Ausgenommen sind Drucker. So kann jeder seinen Drucker zu Hause verwenden.,
Bringt dich das thema ein wenig weiter?
PS: Ich schließ mich selbstverständlich meinen vorrednern an. In so einer Fimra würde ich auch überlegen, ob ich dort länger bleiben will. In der IT MUSS man Geld investieren um aktuell zu bleiben. Und nur durch sowas kommst du persönlich auch weiter und bleibst nicht stehen. Denk bitte am besten drüber nach, ob diese Politik für deine IT-Zukunft gut ist.
Gruß Sven
Zitat von @Mantigul:
Was hälst du von einem Terminalserver, welcher über remote Apps von außen erreichbar ist? Ein Kollege startet
Outlook auf den Remote Apps und hat die Netzlaufwerke der Firma in Outlook zur verfügung. funktioniert mit android/Windows
und MACs, welche eine RDP Session etablieren können.
Was hälst du von einem Terminalserver, welcher über remote Apps von außen erreichbar ist? Ein Kollege startet
Outlook auf den Remote Apps und hat die Netzlaufwerke der Firma in Outlook zur verfügung. funktioniert mit android/Windows
und MACs, welche eine RDP Session etablieren können.
Gut. So halte ich schon mal das intere Netzwerk sauber. Allerdings könnte immer noch der Client mit nem Key-Logger/Monitor-Capture Programm verseucht sein.
Ich fürchte es gibt wohl keine 100% sichere Lösung für Heimarbeit.
Sers,
Nachdem die Links von @Dani verinnerlicht und erfasst wurden hab ich auch noch ein paar Punkte.
Mit BYOD lässt sich kein Geld sparen. Das ist der allererste Grundsatz. BYOD ist allenfalls ein "Mehrwert", der dem MA angeboten wird.
Der Mehraufwand an Sicherheit, Einhaltung von Datenschutz, Schulungsmaßnahmen, Lizenzkosten und nicht zuletzt Wartungsaufwand weil das Gerät eben auch von den Kindern mitbenutzt wird, usw..... Also ich hab auch ohne BYOD genug zu tun.
Ein erster Ansatz wäre sicher die Kombination von Workplace Join (W2012R2 & W7+), Work Folders (W2012R2 & W7+) und bei Bedarf DirectAccess (2012+ & W7+). Sollte wohl am Besten mit AD RMS kombiniert werden, um die weitere Verwendung auf den Privatgeräten besser steuern zu können.
Management (Verwaltung, Compliance, etc) könnte sich etwa über Intune durchführen lassen.
Ein anderer Weg: Windows2go. Stick mit Firmenwindows in das Laptop, hochfahren, gut ist. Work Folders kämen idF immernoch zum Einsatz, aber zumindest das OS und die Software selbst ist voll und ganz in deinem Verwaltungsbereich. Voraussetzung ist natürlich dass die MA Windows (& Office) Lizenzen mit aktiver SA haben. Was wohl bei solch "Sparsinn" wohl kaum der Fall sein wird. Und genauso wenig wird wahrscheinlich ein entsprechend ausgestatteter RDS Host vorhanden sein...
Grüße,
Philip
Nachdem die Links von @Dani verinnerlicht und erfasst wurden hab ich auch noch ein paar Punkte.
Mit BYOD lässt sich kein Geld sparen. Das ist der allererste Grundsatz. BYOD ist allenfalls ein "Mehrwert", der dem MA angeboten wird.
Der Mehraufwand an Sicherheit, Einhaltung von Datenschutz, Schulungsmaßnahmen, Lizenzkosten und nicht zuletzt Wartungsaufwand weil das Gerät eben auch von den Kindern mitbenutzt wird, usw..... Also ich hab auch ohne BYOD genug zu tun.
Ein erster Ansatz wäre sicher die Kombination von Workplace Join (W2012R2 & W7+), Work Folders (W2012R2 & W7+) und bei Bedarf DirectAccess (2012+ & W7+). Sollte wohl am Besten mit AD RMS kombiniert werden, um die weitere Verwendung auf den Privatgeräten besser steuern zu können.
Management (Verwaltung, Compliance, etc) könnte sich etwa über Intune durchführen lassen.
Ein anderer Weg: Windows2go. Stick mit Firmenwindows in das Laptop, hochfahren, gut ist. Work Folders kämen idF immernoch zum Einsatz, aber zumindest das OS und die Software selbst ist voll und ganz in deinem Verwaltungsbereich. Voraussetzung ist natürlich dass die MA Windows (& Office) Lizenzen mit aktiver SA haben. Was wohl bei solch "Sparsinn" wohl kaum der Fall sein wird. Und genauso wenig wird wahrscheinlich ein entsprechend ausgestatteter RDS Host vorhanden sein...
Grüße,
Philip