xilberzerg
Goto Top

Teams und Outlook auf privaten Geräte

Hallo zusammen,

unsere Mitarbeitern können Teams und Outlook auf privaten Handy installieren und die Geschäftsleitung möchte das verbieten.
Wie würde ihr das machen? Oder bessergefragt wie macht ihr es derzeit?

Ich habe mit Absicht diesen Beitrag nicht lang und ausführlich geschrieben, wollte euch nicht mir unnötigen, nicht zu dem Fall gehörenden Infos ablenken.

Besten Dank

und wenn Fragen vorkommen, gerne kommentieren.

Content-Key: 3810596214

Url: https://administrator.de/contentid/3810596214

Printed on: January 31, 2023 at 20:01 o'clock

Member: 0xFFFF
0xFFFF Sep 01, 2022 updated at 07:54:23 (UTC)
Goto Top
Hey,

unsere Kollegen bekommen einfach die Zugangsdaten nicht!? Installieren dürfen die sogar auf Ihrem Privathandy was sie wollen, auch Outlook und Teams. Firmenmail bzw. Anbindung gibts halt einfach nicht.

Das wird einmalig von den Admins auf dem Rechner+Diensthandy eingerichtet und gut. Adminrechte gibts auf den Rechner ohnehin keine..

Bin aber auf weitere Vorschläge sehr gespannt.

VG
Member: wellknown
wellknown Sep 01, 2022 at 07:55:49 (UTC)
Goto Top
Unsere MA haben für Arbeit ausserhalb der Firma VPN-Verbindungen auf ihren Notebooks. Ohne die geht garnichts. Auf den Handys haben sie keine VPN-Einrichtung sodass sich die Frage nicht stellt.
Member: xilberzerg
xilberzerg Sep 01, 2022 at 07:56:57 (UTC)
Goto Top
Das ist das, unsere Mitarbeitern haben die Zugangsdaten, weil sie es für verschiedene Dienste (DevOps usw.) benutzen.
Auf dem Endgeräten hat jeden Adminrechte (leider), das müssen wir auch mit der Zeit lösen.

Aber was ich vermute, es sollte Möglich sein, ein Regel in Endpointmanager erstellen wo man nur registrierte Geräte zulässt. Mit Unternehmensportal sollte das funktionieren.
Member: 0xFFFF
0xFFFF Sep 01, 2022 updated at 08:41:38 (UTC)
Goto Top
weil sie es für verschiedene Dienste (DevOps usw.) benutzen.
Aha - und das kann man als Admin nicht vorbereiten und planen? Finde ich .. schwierig aber ja, kenne eure Gegebenheiten nicht.

Auf dem Endgeräten hat jeden Adminrechte (leider)
Ouch. Auf gutes Gelingen. *wegschau

ein Regel in Endpointmanager erstellen wo man nur registrierte Geräte zulässt
Und was erhoffst Du dir davon? Die Geräte bleiben ja nach wie vor privat?

Grüße

Unsere MA haben für Arbeit ausserhalb der Firma VPN-Verbindungen auf ihren Notebooks. Ohne die geht garnichts. > Auf den Handys haben sie keine VPN-Einrichtung sodass sich die Frage nicht stellt.
This.
Member: OlliSe
OlliSe Sep 01, 2022 at 08:59:37 (UTC)
Goto Top
Einfach eine klare Anweisung wie bei uns:
KEINE PRIVAT Geräte, kein Daten auf PRIVAT gerät ... sonst GO.
Bei Verstößen ist dann ja klar...
Member: wellknown
wellknown Sep 01, 2022 at 09:02:02 (UTC)
Goto Top
@OlliSe: Wir haben inzwischen keinen Arbeitgeber- sondern einen Arbeitnehmermarkt. Da ist das mit dem Kündigen von Personal eher keine praktikable Lösung.
Member: OlliSe
OlliSe Sep 01, 2022 at 09:03:08 (UTC)
Goto Top
Zitat von @wellknown:

@OlliSe: Wir haben inzwischen keinen Arbeitgeber- sondern einen Arbeitnehmermarkt. Da ist das mit dem Kündigen von Personal eher keine praktikable Lösung.

Wäre aber konsequent ...
Member: Baubutze
Baubutze Sep 01, 2022 at 09:10:59 (UTC)
Goto Top
Zitat von @0xFFFF:

Hey,

unsere Kollegen bekommen einfach die Zugangsdaten nicht!? Installieren dürfen die sogar auf Ihrem Privathandy was sie wollen, auch Outlook und Teams. Firmenmail bzw. Anbindung gibts halt einfach nicht.

Das wird einmalig von den Admins auf dem Rechner+Diensthandy eingerichtet und gut. Adminrechte gibts auf den Rechner ohnehin keine..

Bin aber auf weitere Vorschläge sehr gespannt.

VG

Was für Zugangsdaten? Wenn O365 genutzt wird, reicht E-Mail Adresse + Kennwort. Das kannst du selbsterklärend dem User nicht verweigern...

@xilberzergaus deiner Frage geht leider nicht hervor, ob ihr O365 nutzt oder noch klassisch on premise unterwegs seid.
Solltet ihr O365 nutzen, ist "Conditional Access" das Stichwort wonach du suchst. Damit kannst du nicht von euch verwaltete Geräte komplett sperren.
Member: NordicMike
NordicMike Sep 01, 2022 at 09:12:00 (UTC)
Goto Top
Kündigen von Personal eher keine praktikable Lösung.
Möchtet ihr Personal, das dem Chef nicht folgt und die Firma mit verseuchten privaten Geräten in den Ruin treibt?
Member: SlainteMhath
SlainteMhath Sep 01, 2022 at 10:46:12 (UTC)
Goto Top
Moin,

die Lösung die MS für deinen Use-Case vorsieht nennt sich "Conditional Access". Damit lässt sich steuern, wer, wann, von wo aus an M365 Diensten anmelden darf.

lg,
Slainte
Member: Gentooist
Gentooist Sep 01, 2022 updated at 11:09:37 (UTC)
Goto Top
Also bei uns in der Firma ist da so geregelt: BYOD ist unter gewissen Bedingungen erlaubt, wenn ein Mitarbeiter unbedingt darauf bestehen sollte. Allerdings gibt es auch für die, die Outlook brauchen, Eierfons als Dienstgerät.

Wer wirklich nach wie vor darauf bestehen sollte, es auf seinem Privatgerät zu benutzen, wird darauf hingewiesen, dass er dann der Firma die Möglichkeit einräumen muss, im Zweifelsfall sein Gerät per Fernwartung jederzeit Löschen zu können durch Installation einer Firmen-App. Damit hat sich dann für 99% der Fragesteller dieses erledigt.
Member: maretz
maretz Sep 01, 2022 at 13:25:29 (UTC)
Goto Top
Nun - ganz ehrlich: Du gibst lokale Admin-Rechte, du gibst alle Accounts raus,.. (ob freiwillig oder nicht steht dabei auch nicht zur diskussion). Dann darfst du dich auch nicht wundern wenn es eben genutzt wird.

Den Leuten mit Kündigung drohen - ja, ne klasse Idee, die kann auch nur von nem ITler kommen der vermutlich die Pizza nur unter der Tür durchgeschoben bekommt aber sonst realitätsfern lebt. Denn klar kann man das machen -> zuerst werden für gewöhnlich die GUTEN Leute dann irgendwann (früher als gedacht) gehen. Tja, blöd nur wenn keiner da ist der dem ITer die Pizza bezahlt.

Einzige Option die ich realistisch sehen würde wäre eine 2FA - wobei der 2te Faktor eben ein Gerät in der Firma ist. Natürlich KÖNNEN die dann immernoch auf nem privaten Gerät installieren - ist aber sinnlos wenn man sich eh in der Firma anmelden muss. Nachteil: In Zeiten von Home-Office eher nicht mehr praktikabel.

2te Option wäre es wie bei einigen grossen Konzernen mittlerweile: Nach einer gewissen Uhrzeit + im Urlaub wird die Mailzustellung an Mobilgeräte (bzw. ans Postfach) einfach unterdrückt. Wenn der Chef dies positiv kommuniziert (nämlich das Mitarbeiter eben auch im feierabend FREI haben sollen) erledigt sich so ein Problem auch sehr schnell. Grad jüngere Mitarbeiter wollen ja eigentlich aktuell eher die sog. "Work-Life-Balance" statt nur Geld -> und so braucht eben keiner ein schlechtes Gewissen zu haben wenn er/sie eben abends nicht erreichbar ist. Denn DANN ist es ja genauso von der GL gewollt (und das im positiven Sinne). Nachteil: Es erfordert natürlich eine gewisse Umstellung auch bei den Mitarbeitern und wenn dann Abends doch mal die Hütte brennt dann brennt die eben...

Alles andere würde erfordern das du eben entsprechende Berechtigungen entziehst, für Zugänge eben _nicht_ das Mail-Passwort verwendest,... Den Kampf kann man eingehen - wenns aber nur von der IT kommt wirds eher verloren werden... Wenn die GL da nur kommt und sagt "Wir machen jetzt weil isso" gibts nur unnötige Kämpfe und man reibt sich gegenseitig auf...
Member: DerNussi
DerNussi Sep 01, 2022 at 13:53:06 (UTC)
Goto Top
Wenn O365 genutzt wird, reicht E-Mail Adresse + Kennwort. Das kannst du selbsterklärend dem User nicht verweigern...

Würde ich so nicht unterschreiben.

Conditional Access als Stichwort. Das musst du aber dementsprechend gut anlegen, nicht dass du dir Geräte aussperrst, die du eigentlich benötigst. Solltest du aber in den Microsoft Docs finden.
Member: Kaffeepause07
Kaffeepause07 Sep 01, 2022 at 14:05:34 (UTC)
Goto Top
Hallo, in Office 365 ist wie hier schon erwähnt der conditional Access die Lösung. Auf einem Exchange in einer on prem Umgebung musst du die Richtlinie für die Geräteregistrierung anpassen. Wenn du hier erstmal nicht mehr alle Geräte zulässt kannst du als Admin bei jeden Gerät die Kommunikation zulassen oder ablehnen.

Ansonsten besteht natürlich auch die Möglichkeit die Kommunikation zum Exchange nur per vpn zu ermöglichen. Das zum technischen, entscheidender ist immer das organisatorische. Outlook Web Access von privaten Geräten funktioniert gut und kann auch zusätzlich geschützt werden, alles andere was Firmen Daten auf einem privaten Gerät speichert ist kritisch im Bezug auf Datenschutz usw.
Member: Kaffeepause07
Kaffeepause07 Sep 01, 2022 at 14:09:38 (UTC)
Goto Top
Gut ist immer eine Dienstanweisung für so etwas zu definieren und zu veröffentlichen, im 2 Schritt dann technisch Einschränken mit Bezug zur Dienstvereinbarung. Solche Regelungen würde ich nicht unbedingt als IT Abteilung veröffentlichen sondern die GF oder andere Leitungsebenen kommunizieren lassen.
Member: Baubutze
Baubutze Sep 03, 2022 updated at 10:17:00 (UTC)
Goto Top
Zitat von @DerNussi:

Wenn O365 genutzt wird, reicht E-Mail Adresse + Kennwort. Das kannst du selbsterklärend dem User nicht verweigern...

Würde ich so nicht unterschreiben.

Conditional Access als Stichwort. Das musst du aber dementsprechend gut anlegen, nicht dass du dir Geräte aussperrst, die du eigentlich benötigst. Solltest du aber in den Microsoft Docs finden.

Habe ich bereits in meinem ersten Kommentar erwähnt. Natürlich muss man es richtig implementieren, so wie alles in unserem Job.
Member: Cloudrakete
Solution Cloudrakete Sep 04, 2022 at 15:05:50 (UTC)
Goto Top
Du hast aus meiner Sicht zwei Optionen:

1. Via Conditional Access nur registriete Geräte zu lassen
2. In Kombination mit 1.) Intune MAM-Policies durchkonfigurieren und Zugang auf Firmendaten nur via den spezifischen Apps (Outlook, Excel etc).
Wird nun ein private Device genutzt, wird der Benutzer gezwungen entsprechende Schutzrichtlinien auf dem Privatgerät mitlaufen zu lassen.

Für Option solltest Du aber vorab eine BYOD (Bring your own device) Policy aufsetzen und bekanntgeben.
Sind Privatgeräte gar keine Option, dann via Option 1 entsprechend absichern und du hast Ruhe. Praktisch alle meiner Kunden nutzen Option 1.
Member: maretz
maretz Sep 04, 2022 at 15:39:04 (UTC)
Goto Top
Nun - was die privaten Schutzrichtlinien angeht würde ich das aber auch mal prüfen lassen.. Admins meinen ja gerne das man sowas einfach mal einträgt und gut ist. Und wenn der MA dann das Unternehmen verlässt - was dann? Einfach das komplette Gerät löschen - wäre blöd wenn der danach sagt er wurde nicht rechtzeitig informiert und somit sind seine privaten Bilder auch gelöscht worden... (und wenn der nen Backup vom Gerät machen kann ist das ganze Löschen eh ziemlich sinnlos - dann hab ich vorher schon zig Screenshots gemacht und als Bild gespeichert...).

Von daher würde ich entweder das Risiko nehmen oder private Geräte eben ganz verbieten... Wobei es generell sinnlos ist - da die meisten "Daten" die ein Mitarbeiter nimmt eh unlöschbar sind -> in seinem Kopf... Keine Ahnung - wenn ich heute das Unternehmen verlassen würde müsste ich mir nix aufschreiben oder sonstwie "klauen". Ich weiss mit welchen Firmen ich rede (und kenne die Leute ja auch) -> email ist also meistens einfach weil vorname.nachname@firma... (wenn man denen nich eh schon gesagt hat das man geht und der Kontakt auf anderen Ebenen besteht). Passwörter ok, könnte ich mir nicht alle merken - wäre aber egal weil hoffentlich der Remote-Zugang für den MA eh gesperrt wird. Und meinen täglichen JOB brauche ich nicht aufschreiben, den mache ich ja... und wenn man die Firma wechselt ist ja grad die Erfahrung das was der neue AG idR gerne kaufen will... Von daher glaube ich in der aktuellen Situation wäre es schlimmer die Person zu verlieren als die Daten...
Member: SazuBun
SazuBun Sep 05, 2022 at 08:06:43 (UTC)
Goto Top
Hi face-smile
Also aus meiner Sicht spielen da (wie hier auch schon erwähnt wurde) viele verschiedene Faktoren eine Rolle:

Zunächst müsstet ihr eure Nutzungsszenarien genauer definieren:

Bei beiden gibt es die Möglichkeit Container einzurichten, die dann jeweils nur die privaten Apps und die geschäftlichen Apps (diese sind dann bei Android mit einem kleinen Arbeitsköfferchen gekennzeichnet) enthalten. Dies wird vor allem bei BYOD (Bring your Own device) aber auch bei COPA (Company Owned, Private Enabled = Gerät wird über die Firma bestellt darf aber von den Mitarbeitenden privat genutzt werden)

Nun muss man allerdings bedenken, dass ab Android 11 es nicht mehr möglich ist, als Admin auf die private Seite des Gerätes zuzugreifen, z.B. via MDM. (Was ist euch sowieso empfehlen würde einzurichten, falls noch keines vorhanden) Android lebt die Policy dass Privates auch Privat bleibt, was im Zuge der DSGVO nur konsequent ist.

Mir scheint es so, als dass es bei euch eine Art inoffizielle BYOD Politik gibt - das kann aber aus Datenschutzrechtlicher Sicht durchaus problematisch werden. Würdet ihr eine Container Lösung wie oben beschrieben nutzen, könnte zumindest der Datentransfer vom geschäftlichen zum privaten Account vermieden werden.

Pauschal verbieten sollte man meiner Meinung nach beide Apps nicht. Da gerade die Teams App natürlich dazu beiträgt dass Mitarbeitende mobil arbeiten können.
Eure Geschäftsleitung muss da anscheinend aber definitiv nochmal ein bisschen drüber nachdenken :D

Ich hoffe das war hilfreich!
VG
Member: DerNussi
DerNussi Sep 05, 2022 at 11:25:22 (UTC)
Goto Top
Habe ich bereits in meinem ersten Kommentar erwähnt. Natürlich muss man es richtig implementieren, so wie alles in unserem Job.

Mein Fehler!
Wenn man die Nachrichten nur halblebig liest und trotzdem seinen Senf dazu geben will, sorry.