Frage zum Apple Account

Tach,

yes. Und auch nur dieser Account kann das Gerät dann freigeben. Zugegeben: da macht Apple keine halbe Sachen (was ich absolut befürworte, Diebstahl ineffizient zu gestalten).

Einzig richtiger und gangbarer Weg als Admin:
Firmenaccount, MDM und Du steuerst das Ding, inkl. DEINER (Firmen)AppleID.

No fckn way.

Gruß

Edit:
Sehe ich exakt auch so. Er hat da einfach mal gar nichts zu melden.

Moin,

Klar, ist ja auch sein privates MacBook xD ... NICHT

Normalerweise braucht ihr als Unternehmen da eine Compliance, wie ihr Apple-Geräte handhabt. Kann nicht wirklich sein, dass der MA da Vorgaben macht.


Wierder Kommentar. Das Macbook gehört in ein MDM, in welchem entweder gesperrt wird, dass man überhaupt eine AppleID eintragen kann, oder es gibt individuelle Firmen-Apple IDs

@Coreknabe

Grundsätzlich haben wir uns die Herausgabe von Mobilgeräten an Mitarbeiter/innen schriftlich mit Seriennummer quittieren lassen, und diese dann in die Personalakte als Original abgelegt.
Scheidet jemand aus kann dort immer verlässlich nachgesehen werden, was noch an Mobilgeräten im Besitz des/der Mitarbeiter/in ist.

Den lokalen Admin-Account und vor allem auch Apple-IDs/Accounts haben wir grundsätzlich immer über einen FirmenAccount angelegt und die Geräte entsprechend den Vorgaben / Richtlinien / etc. mit Software bestückt. Die Mitarbeiter/innen bekamen nie einen Admin-Account, damit keine unautorisierte Software installiert werden kann.

Sofern möglich wurde alles über das ActiveDirectory gemanaged.

Kreuzberger

ich sehe das wie @kreuzberger - privat is privat und Firma is Firma und mit demensprechenden Auflagen versehen.

Bei uns sind Apple Geräte in Intune, damit werden auch notwendige Apps der Company installiert. Stimmt die Config nicht oder sidn Apps zu alt kommt das Gerät nicht auf die Company Ressourcen. Ansonsten wird die private Apple ID genutzt.

Wenn es eine Firmen-Apple-ID gibt (wozu ich hier dringend rate), kann der MA das Passwort für diese nicht ändern. Er kann nur das Passwort seines User-Accounts auf dem MacBook ändern. Eine Verknüpfung des MacBooks mit einer anderen, privaten AppleID ist unmöglich, solange das MacBook in der Firmen-Apple-ID verankert ist. Das Passwort für die Firmen-Apple-ID wird selbstverständlich nicht an den MA herausgegeben.

Ich persönlich halte Intunes was die DSGVO angeht für inkompatibel, und daher nicht nutzbar. Ohnehin würde ich das Herz der Netzwerkverwaltung nicht in fremde Hände in eine Cloud geben.

Kreuzberger

Normalerweise würde ich auch sagen MDM bzw. Apple ID von Firma.

Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Der Arbeitgeber bleibt grundsätzlich Eigentümer des Gerätes. Es handelt sich hierbei um eine Nutzungsüberlassung, nicht um eine Eigentumsübertragung. Wenn der Arbeitnehmer jetzt seine Privatsphäre haben will, ihr das Gerät aber auch wieder zurück nehmen wollt in bestimmten Fällen (z.B. Kündigung), dann wird das etwas kompliziert.

@Coreknabe

Du kannst alle Apple-Geräte auch ohne AppleID / AppleAccount betreiben. Zur Sicherung vor Diebstahl und zur Sicherung des Eigentums ist die AppleID allerdings durchaus sehr zweckmäßig und di Nutzung anzuraten.

Zwingend erforderlich ist die AppleID wenn man über den AppStore Software beziehen will.

Kreuzberger

Moin,

MDM und fertig. Ist mein MacBook von der Firma auch - und ich kann zwar über den App-Store mit meinem Account mir Software installieren (habe auch Admin-Rechte da ich Admin bin ;) ) ABER wenn MDM/Intunes sagen würde "mach platt die kiste" dann mach ich da halt auch gar nix mehr ausser zugucken...

Und wichtig dabei: WENN man schon so eine "Mischung" betreibt dann muss zwischen MA und Firma auch eben ne klare Vereinbarung sein... In diesem Fall ist es zB. ganz einfach: "Mein" Laptop, meine Pflicht zur Sicherung wenn ich irgendwas eigenes speichere,... Wenns über Intunes aus welchem Grund auch immer plattgemacht wird brauch ich nich hingehen und sagen "aber hey, ich hatte 3 eigene Dokumente da drauf gespeichert". Ich brauch auch nicht hingehen und sagen "ich hab aber die App xyz geladen die ich sonst nich brauchen kann" - mein Problem... Ich KANN OS-Updates selbst installieren, wenn ich es nicht tue kommt halt irgendwann MDM/Intunes an und macht das zwangsweise (auch da: geht danach irgendwas meiner eigenen Dinge nicht mehr - mein Problem!). DAS sollte man eben aber auch klar mit dem MA vorher abklären um jedes Problem da auszuschließen....

Moin,

MDM sind wir gerade bei - ggf. +Lifecycle Management. Komme gerade nicht auf den Namen. MDM was die Telekom vertreibt....

Egal ob Apple oder Samsung. Früher konnte man teils einfach recovern. Wenn USB Debug oder die Notfall Dings Nummer - Raute, Raute irgendwas - gesperrt sind, schaut man die Höre.

Es gibt Anbieter die den Schutz knacken können. Aber ist auch etwas unschön. Klar, wenn einen das Gerät gehört wäre so ein "hack" auch legitim Sonst hat man einen teuren Briefbeschwerer.

Die Einstellungen bei Samsung sind immer verfügbar. Jeder kann USB Debugging und die Code Eingabe deaktivieren - wenn sie es nicht von Haus aus schon ist!

Herstellerübergreifend wird es immer schwieriger dann an die Geräte heran zu kommen. Selbst wenn die vor einen auf dem Tisch liegen. Der MA ist weg, hat gekündigt. PIN ist nicht mehr die gleiche wie SIM PIN oder unzureichend dokumentiert. Und zack - das war es.

Es geht also nicht nur darum, dass jemand das Gerät für sich behält. Auch wenn zurück gegebene kann man fast schon in den Müll werfen, wenn die Schutzmechanismen nicht auszuhebeln sind. Man verstößt ggf. gegen die AGB der Hersteller - was noch ginge. Viel schlimmer ist, dass man dubiose Apps aus Iran, Irak nehmen muss, die auch noch Geld kosten.

Vor 1 Jahr wollten die teils nur eine Spende für Tasse Kaffee. Hat sich auch schon geändert.

Falsche PIN für zu 24 Std, 28 Std Sperre usw. Irgendwann ist es ganz vorbei. MDM kostet Geld. Nur nun rechnen wir mal Arbeitszeit um z.B. Samsung Knox zu knacken, plus Gebühr für die ominösen Tools aus dem Ausland, plus ggf. Viren u.a. die so eine Software theoretisch mit sich bringen kann.

Anderer Punkt für MDM - APK ausrollen

Nicht immer sind Software Hersteller im App Store. APK kann man ja so installieren, muss es nur freigeben. Bei dutzenden von Handys macht das aber auch keinen Spaß!

Wieder ein Punkt der Arbeitszeit und Geld kostet.


Zu Apple:
Unternehmensaccount ist schön und gut. Man muss den nur richtig für alle Domänen einrichten. Hält ein User den Account, weil man testweise was eingerichtet hat, wird es unangenehm.

Normal ruft Apple einen dann telefonisch an und vergleicht die Daten. Selbst wenn man sich als "echte" und korrekte Firma ausweist kommt man nicht sofort an den Account heran!

Teils soll es dann 2 Wochen dauern. Der andere User erhält eine Aufforderung dass jemand den Firmen Account überschrieben hat und ordentlich legitimiert ist.

Wie gesagt: kann auch bis zu 2 Wochen dauern.

Es lohnt sich also sich dafür Zeit zu nehmen!
- Apple Company Account mit mehrere "Ersatz-"Admins (falls mal wer krank wird oder kündigt)
- MDM was Herstellerunabhängig agiert
- ggf. Lifecycle Management - alle 2 Jahre neue Geräte


Man kann mit Apple durchaus reden - auch persönlich. Nur die oben genannten Punkte traten bei uns frisch auf. Vorbereitung für ein MDM. Apple Unternehmensaccount wurde von Kollegen vor Jahren mal registriert. Hat man die alten E-Mail Adresse nicht mehr, kann es bis zu 2 Wochen dauern ....

mfg Crusher

also wir haben das mal so gemacht gehabt:
MAC Aufsetzen und lokalen Admin Account (also dein Account) drauf machen.
Dann entsprechend User Account erstellen OHNE Admin rechte.
Zwar kann ein solcher user auch Apps installieren aber grosse Softwarepakete gehen trotzdem nicht.
Ist so in der Art wie MS Store, da kann ein user ohne admin rechte auch müll installieren....
Wenn user ne Apple ID braucht dann nur unter der Firmen Email Adresse.

Die Netzlaufwerke wurden dann eingehängt (gemountet hehe) und mit dem AD Account verbunden mit AD Account daten. Email entsprechend verbinden je nach umgebung halt.

Antivirus noch drauf....

Und dann dann noch viel spass beim debugging und anschliessenden rumpopeln...
weil z.B. SMBv3 Protokoll von MACs entspricht nicht dem Standard und egal ob Win oder Linux Server du wirst dann Disconnects haben... lösung war dann SMBv3 deaktivieren und SMBv2 als Standard zu definieren im MAC...
Naja und einiges mehr an geschiss..

Aber die optimalste Lösung ist es eigentlich:
- Apple kannste im Gästenetz und offline benutzen ohne zugriff auf Firmendaten....
- oder installiert mit Windows wenn das noch geht hehe

und zum damaligen zeitpunkt gabs keine gescheite möglichkeit die dinger zentral zu administrieren, also nix mit GPOs oder was auch nur ansatzweise da ran kommt... ich bezweifel das es hier was gibt inzwischen.
Gibt zwar MDMs wo auch iMacs rein kommen können aber wie gesagt verglichen mit GPOs sind die settings echt Kindergarten niveau...

Aber unter uns, jede Firma die sowas noch macht oder Private Devices in der Firma zulässt ist ja inzwischen schon mehr als Grob Fahrlässig was Security angeht, die wo sowas machen sollten am besten gleich ihren Laden zu machen solang er noch läuft

7> Zitat von @ThePinky777:

Und warum genau? Das Konzept nennt sich übrigens "Zero-Trust", bei dem du nicht mal firmengeräten vertraust und dafür sorgst das es auch egal ist womit du darauf zugreiffen willst. Kann man (im einfachen Fall) zB. über Terminal-Server realisieren,....

Ich würde sogar behaupten jeder Admin der meint "nur weil das Gerät Firmeneigentum ist is es vertrauenswürdig" wäre eher grob fahrlässig. Denn ob ich nun zB. auf nem Firmenrechner auf ne "falsche" Mail klicke oder auf meinem, das Ergebnis wäre in der Firma idR. nicht soviel anders, jemand bekommt ggf. meine Zugangsdaten. Ob ich über den Firmenrechner meine Daten auf nen privaten Cloud-Rechner schiebe (im Falle das man Kündigen will und Daten mitnimmt), ob ich Fotos vom Bildschirm mache oder sonstwelche Wege gehe - die Auswahl ist gross genug... Von daher würde ich heute nicht mehr sagen "wer Private Geräte zulässt" sondern eben wer nicht generell seine Systeme entsprechend schützt... Zumal der GRÖSSTE Faktor heute vor dem Rechner sitzt (und da bilden Admins keine Ausnahme) - von Scripten die da mit Passwort irgendwo im Dateisystem liegen, Rechner die eh nicht gesperrt werden, Installationen bei denen man lachend an der Firewall vorbeigeht,... Und wenn du da jede Firma deshalb gleich "zumachen solang die noch läuft" willst dann würde ich mal behaupten das du kleine/mittlere Unternehmen nahezu komplett zumachen kannst und bei den Konzernen noch ne Handvoll über bleiben.. Und da ist der private Rechner idR. das KLEINSTE Problem...

Das sagt doch rein gar nichts zum genannten Sachverhalt aus. Ich denke, ich weiß, worauf Du hinauswillst, aber das hat sicher nichts mit dem von Dir genanten Paragraphen zu tun.
"Zur privaten Nutzung überlassen" impliziert nicht, dass der Arbeitnehmer über das Gerät vollumpfänglich bestimmen kann. Es impliziert nicht, dass der AN da Programme installieren darf oder die Kontrolle über die Einstellungen haben muss. Es geht rein darum, dass AN eben zuhause oder in der Pause auch privates Zeugs damit erledigen darf. Damit sollte sicherlich "die Digitalisierung" im privatem Umfeld gefördert werden.

Wenn, dann resultiert sowas, was Du wahrscheinlich meinst, aus einer extra Vereiunbarung zwischen AG und AN. Und diesbzgl. kann man sich als Admin beim AG rückversichern.

Naja, man sollt halt eine schriftlich fixierte Grundvereinbarung mit jedem MA, der/die ein Mobilgerät erhalten hat treffen, was und was eben nicht damit gemacht werden soll oder darf. Die kommt dann eben in die Personalakte, und gut is.

Kreuzberger

Richtig, das wird nicht impliziert, ist aber möglich. In den Fällen wird das Gerät vom AG gekauft, der AG kann es Abschreiben oder als Betriebsausgaben geltend machen und bleibt Eigentümer. Darüber hinaus kann er es aber dem AN zur freien Verfügung überlassen. Wie das vereinbart ist, bleibt AG und AN überlassen.

Technisch gesehen kann es also wie ein Privat-Gerät zu behandeln sein. Der Admin würde es dann genauso behandeln, als ob es sich um ein Privat-Gerät des AN handelt, wie auch immer die Policy aussieht. Der AN müsste dem Admin keinen Zugang oder Einfluss gewähren. Es gibt keine Voraussetzung die besagt, dass das Gerät irgendeinem betrieblichen Zweck dienen muss, er kann damit in seiner Freizeit auch nur Pornos schauen, genauso wie er von seinem Gehalt auch im Puff übernachten dürfte. Es handelt sich quasi um eine steuerfreie Lohnersatzleistung.

Daher bin ich nicht automatisch davon ausgegangen, das der Admin hier alles konfigurieren muss, es kommt auf den Zweck an. Wenn es um eine Nutzungsüberlassung geht ist eigentlich nur das Eigentum und die Rücknahme interessant. Wenn es klar der betrieblichen Tätigkeit dient ist der Claim des AN natürlich Quatsch. Dem würde ich sowas von einen Vogel zeigen und mir Gedanken machen, ob der AN nicht eventuell seine Position im Unternehmen falsch verstanden hat.

Moin,

ein weiterer Aspekt - der für die Einbindung in ein MDM oder zumindest für eine betriebliche Apple-ID spricht - ist die Beschaffung/Installation kostenpflichtiger Software. Beim MDM (kommt vielleicht auch auf das MDM an) können von der Firma beschaffte Lizenzen den verwalteten Geräten zugewiesen werden, bleiben also in der Hoheit der Firma. Sollte lediglich eine private Apple-ID benutzt werden, wird es schwierig bis unmöglich die Lizenz zurück zur Firma zu holen.

Welche Regelungen habt ihr denn für die Verwendung von Backup und iCloud? Synchronisiert das Firmengerät betriebliche Daten munter mit den möglicherweise vorhandenen privaten Geräten des Mitarbeiters hin und her? Befinden sich im Umkehrschluss private Daten auf dem Firmengerät? Das sollte geregelt sein. Meiner Meinung nach sollte Betriebliches betrieblich und Privates privat sein - saubere Trennung.

Gruß
TA

Ich meine natürlich nur Hardware-Porno, sind ja hier schließlich alle Profis