20
Teams und Outlook auf privaten Geräte
Hallo zusammen,
unsere Mitarbeitern können Teams und Outlook auf privaten Handy installieren und die Geschäftsleitung möchte das verbieten.
Wie würde ihr das machen? Oder bessergefragt wie macht ihr es derzeit?
Ich habe mit Absicht diesen Beitrag nicht lang und ausführlich geschrieben, wollte euch nicht mir unnötigen, nicht zu dem Fall gehörenden Infos ablenken.
Besten Dank
und wenn Fragen vorkommen, gerne kommentieren.
unsere Mitarbeitern können Teams und Outlook auf privaten Handy installieren und die Geschäftsleitung möchte das verbieten.
Wie würde ihr das machen? Oder bessergefragt wie macht ihr es derzeit?
Ich habe mit Absicht diesen Beitrag nicht lang und ausführlich geschrieben, wollte euch nicht mir unnötigen, nicht zu dem Fall gehörenden Infos ablenken.
Besten Dank
und wenn Fragen vorkommen, gerne kommentieren.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3810596214
Url: https://administrator.de/contentid/3810596214
Printed on: April 20, 2024 at 03:04 o'clock
20 Comments
Latest comment
Hey,
unsere Kollegen bekommen einfach die Zugangsdaten nicht!? Installieren dürfen die sogar auf Ihrem Privathandy was sie wollen, auch Outlook und Teams. Firmenmail bzw. Anbindung gibts halt einfach nicht.
Das wird einmalig von den Admins auf dem Rechner+Diensthandy eingerichtet und gut. Adminrechte gibts auf den Rechner ohnehin keine..
Bin aber auf weitere Vorschläge sehr gespannt.
VG
unsere Kollegen bekommen einfach die Zugangsdaten nicht!? Installieren dürfen die sogar auf Ihrem Privathandy was sie wollen, auch Outlook und Teams. Firmenmail bzw. Anbindung gibts halt einfach nicht.
Das wird einmalig von den Admins auf dem Rechner+Diensthandy eingerichtet und gut. Adminrechte gibts auf den Rechner ohnehin keine..
Bin aber auf weitere Vorschläge sehr gespannt.
VG
Unsere MA haben für Arbeit ausserhalb der Firma VPN-Verbindungen auf ihren Notebooks. Ohne die geht garnichts. Auf den Handys haben sie keine VPN-Einrichtung sodass sich die Frage nicht stellt.
Das ist das, unsere Mitarbeitern haben die Zugangsdaten, weil sie es für verschiedene Dienste (DevOps usw.) benutzen.
Auf dem Endgeräten hat jeden Adminrechte (leider), das müssen wir auch mit der Zeit lösen.
Aber was ich vermute, es sollte Möglich sein, ein Regel in Endpointmanager erstellen wo man nur registrierte Geräte zulässt. Mit Unternehmensportal sollte das funktionieren.
Auf dem Endgeräten hat jeden Adminrechte (leider), das müssen wir auch mit der Zeit lösen.
Aber was ich vermute, es sollte Möglich sein, ein Regel in Endpointmanager erstellen wo man nur registrierte Geräte zulässt. Mit Unternehmensportal sollte das funktionieren.
weil sie es für verschiedene Dienste (DevOps usw.) benutzen.
Aha - und das kann man als Admin nicht vorbereiten und planen? Finde ich .. schwierig aber ja, kenne eure Gegebenheiten nicht.Auf dem Endgeräten hat jeden Adminrechte (leider)
Ouch. Auf gutes Gelingen. *wegschauein Regel in Endpointmanager erstellen wo man nur registrierte Geräte zulässt
Und was erhoffst Du dir davon? Die Geräte bleiben ja nach wie vor privat?Grüße
Unsere MA haben für Arbeit ausserhalb der Firma VPN-Verbindungen auf ihren Notebooks. Ohne die geht garnichts. > Auf den Handys haben sie keine VPN-Einrichtung sodass sich die Frage nicht stellt.
This.
Einfach eine klare Anweisung wie bei uns:
KEINE PRIVAT Geräte, kein Daten auf PRIVAT gerät ... sonst GO.
Bei Verstößen ist dann ja klar...
KEINE PRIVAT Geräte, kein Daten auf PRIVAT gerät ... sonst GO.
Bei Verstößen ist dann ja klar...
@OlliSe: Wir haben inzwischen keinen Arbeitgeber- sondern einen Arbeitnehmermarkt. Da ist das mit dem Kündigen von Personal eher keine praktikable Lösung.
1Zitat von @wellknown:
@OlliSe: Wir haben inzwischen keinen Arbeitgeber- sondern einen Arbeitnehmermarkt. Da ist das mit dem Kündigen von Personal eher keine praktikable Lösung.
@OlliSe: Wir haben inzwischen keinen Arbeitgeber- sondern einen Arbeitnehmermarkt. Da ist das mit dem Kündigen von Personal eher keine praktikable Lösung.
Wäre aber konsequent ...
Zitat von @141986:
Hey,
unsere Kollegen bekommen einfach die Zugangsdaten nicht!? Installieren dürfen die sogar auf Ihrem Privathandy was sie wollen, auch Outlook und Teams. Firmenmail bzw. Anbindung gibts halt einfach nicht.
Das wird einmalig von den Admins auf dem Rechner+Diensthandy eingerichtet und gut. Adminrechte gibts auf den Rechner ohnehin keine..
Bin aber auf weitere Vorschläge sehr gespannt.
VG
Hey,
unsere Kollegen bekommen einfach die Zugangsdaten nicht!? Installieren dürfen die sogar auf Ihrem Privathandy was sie wollen, auch Outlook und Teams. Firmenmail bzw. Anbindung gibts halt einfach nicht.
Das wird einmalig von den Admins auf dem Rechner+Diensthandy eingerichtet und gut. Adminrechte gibts auf den Rechner ohnehin keine..
Bin aber auf weitere Vorschläge sehr gespannt.
VG
Was für Zugangsdaten? Wenn O365 genutzt wird, reicht E-Mail Adresse + Kennwort. Das kannst du selbsterklärend dem User nicht verweigern...
@xilberzergaus deiner Frage geht leider nicht hervor, ob ihr O365 nutzt oder noch klassisch on premise unterwegs seid.
Solltet ihr O365 nutzen, ist "Conditional Access" das Stichwort wonach du suchst. Damit kannst du nicht von euch verwaltete Geräte komplett sperren.
Kündigen von Personal eher keine praktikable Lösung.
Möchtet ihr Personal, das dem Chef nicht folgt und die Firma mit verseuchten privaten Geräten in den Ruin treibt?1
Moin,
die Lösung die MS für deinen Use-Case vorsieht nennt sich "Conditional Access". Damit lässt sich steuern, wer, wann, von wo aus an M365 Diensten anmelden darf.
lg,
Slainte
die Lösung die MS für deinen Use-Case vorsieht nennt sich "Conditional Access". Damit lässt sich steuern, wer, wann, von wo aus an M365 Diensten anmelden darf.
lg,
Slainte
Also bei uns in der Firma ist da so geregelt: BYOD ist unter gewissen Bedingungen erlaubt, wenn ein Mitarbeiter unbedingt darauf bestehen sollte. Allerdings gibt es auch für die, die Outlook brauchen, Eierfons als Dienstgerät.
Wer wirklich nach wie vor darauf bestehen sollte, es auf seinem Privatgerät zu benutzen, wird darauf hingewiesen, dass er dann der Firma die Möglichkeit einräumen muss, im Zweifelsfall sein Gerät per Fernwartung jederzeit Löschen zu können durch Installation einer Firmen-App. Damit hat sich dann für 99% der Fragesteller dieses erledigt.
Wer wirklich nach wie vor darauf bestehen sollte, es auf seinem Privatgerät zu benutzen, wird darauf hingewiesen, dass er dann der Firma die Möglichkeit einräumen muss, im Zweifelsfall sein Gerät per Fernwartung jederzeit Löschen zu können durch Installation einer Firmen-App. Damit hat sich dann für 99% der Fragesteller dieses erledigt.
Nun - ganz ehrlich: Du gibst lokale Admin-Rechte, du gibst alle Accounts raus,.. (ob freiwillig oder nicht steht dabei auch nicht zur diskussion). Dann darfst du dich auch nicht wundern wenn es eben genutzt wird.
Den Leuten mit Kündigung drohen - ja, ne klasse Idee, die kann auch nur von nem ITler kommen der vermutlich die Pizza nur unter der Tür durchgeschoben bekommt aber sonst realitätsfern lebt. Denn klar kann man das machen -> zuerst werden für gewöhnlich die GUTEN Leute dann irgendwann (früher als gedacht) gehen. Tja, blöd nur wenn keiner da ist der dem ITer die Pizza bezahlt.
Einzige Option die ich realistisch sehen würde wäre eine 2FA - wobei der 2te Faktor eben ein Gerät in der Firma ist. Natürlich KÖNNEN die dann immernoch auf nem privaten Gerät installieren - ist aber sinnlos wenn man sich eh in der Firma anmelden muss. Nachteil: In Zeiten von Home-Office eher nicht mehr praktikabel.
2te Option wäre es wie bei einigen grossen Konzernen mittlerweile: Nach einer gewissen Uhrzeit + im Urlaub wird die Mailzustellung an Mobilgeräte (bzw. ans Postfach) einfach unterdrückt. Wenn der Chef dies positiv kommuniziert (nämlich das Mitarbeiter eben auch im feierabend FREI haben sollen) erledigt sich so ein Problem auch sehr schnell. Grad jüngere Mitarbeiter wollen ja eigentlich aktuell eher die sog. "Work-Life-Balance" statt nur Geld -> und so braucht eben keiner ein schlechtes Gewissen zu haben wenn er/sie eben abends nicht erreichbar ist. Denn DANN ist es ja genauso von der GL gewollt (und das im positiven Sinne). Nachteil: Es erfordert natürlich eine gewisse Umstellung auch bei den Mitarbeitern und wenn dann Abends doch mal die Hütte brennt dann brennt die eben...
Alles andere würde erfordern das du eben entsprechende Berechtigungen entziehst, für Zugänge eben _nicht_ das Mail-Passwort verwendest,... Den Kampf kann man eingehen - wenns aber nur von der IT kommt wirds eher verloren werden... Wenn die GL da nur kommt und sagt "Wir machen jetzt weil isso" gibts nur unnötige Kämpfe und man reibt sich gegenseitig auf...
Den Leuten mit Kündigung drohen - ja, ne klasse Idee, die kann auch nur von nem ITler kommen der vermutlich die Pizza nur unter der Tür durchgeschoben bekommt aber sonst realitätsfern lebt. Denn klar kann man das machen -> zuerst werden für gewöhnlich die GUTEN Leute dann irgendwann (früher als gedacht) gehen. Tja, blöd nur wenn keiner da ist der dem ITer die Pizza bezahlt.
Einzige Option die ich realistisch sehen würde wäre eine 2FA - wobei der 2te Faktor eben ein Gerät in der Firma ist. Natürlich KÖNNEN die dann immernoch auf nem privaten Gerät installieren - ist aber sinnlos wenn man sich eh in der Firma anmelden muss. Nachteil: In Zeiten von Home-Office eher nicht mehr praktikabel.
2te Option wäre es wie bei einigen grossen Konzernen mittlerweile: Nach einer gewissen Uhrzeit + im Urlaub wird die Mailzustellung an Mobilgeräte (bzw. ans Postfach) einfach unterdrückt. Wenn der Chef dies positiv kommuniziert (nämlich das Mitarbeiter eben auch im feierabend FREI haben sollen) erledigt sich so ein Problem auch sehr schnell. Grad jüngere Mitarbeiter wollen ja eigentlich aktuell eher die sog. "Work-Life-Balance" statt nur Geld -> und so braucht eben keiner ein schlechtes Gewissen zu haben wenn er/sie eben abends nicht erreichbar ist. Denn DANN ist es ja genauso von der GL gewollt (und das im positiven Sinne). Nachteil: Es erfordert natürlich eine gewisse Umstellung auch bei den Mitarbeitern und wenn dann Abends doch mal die Hütte brennt dann brennt die eben...
Alles andere würde erfordern das du eben entsprechende Berechtigungen entziehst, für Zugänge eben _nicht_ das Mail-Passwort verwendest,... Den Kampf kann man eingehen - wenns aber nur von der IT kommt wirds eher verloren werden... Wenn die GL da nur kommt und sagt "Wir machen jetzt weil isso" gibts nur unnötige Kämpfe und man reibt sich gegenseitig auf...
Wenn O365 genutzt wird, reicht E-Mail Adresse + Kennwort. Das kannst du selbsterklärend dem User nicht verweigern...
Würde ich so nicht unterschreiben.
Conditional Access als Stichwort. Das musst du aber dementsprechend gut anlegen, nicht dass du dir Geräte aussperrst, die du eigentlich benötigst. Solltest du aber in den Microsoft Docs finden.
Hallo, in Office 365 ist wie hier schon erwähnt der conditional Access die Lösung. Auf einem Exchange in einer on prem Umgebung musst du die Richtlinie für die Geräteregistrierung anpassen. Wenn du hier erstmal nicht mehr alle Geräte zulässt kannst du als Admin bei jeden Gerät die Kommunikation zulassen oder ablehnen.
Ansonsten besteht natürlich auch die Möglichkeit die Kommunikation zum Exchange nur per vpn zu ermöglichen. Das zum technischen, entscheidender ist immer das organisatorische. Outlook Web Access von privaten Geräten funktioniert gut und kann auch zusätzlich geschützt werden, alles andere was Firmen Daten auf einem privaten Gerät speichert ist kritisch im Bezug auf Datenschutz usw.
Ansonsten besteht natürlich auch die Möglichkeit die Kommunikation zum Exchange nur per vpn zu ermöglichen. Das zum technischen, entscheidender ist immer das organisatorische. Outlook Web Access von privaten Geräten funktioniert gut und kann auch zusätzlich geschützt werden, alles andere was Firmen Daten auf einem privaten Gerät speichert ist kritisch im Bezug auf Datenschutz usw.
Gut ist immer eine Dienstanweisung für so etwas zu definieren und zu veröffentlichen, im 2 Schritt dann technisch Einschränken mit Bezug zur Dienstvereinbarung. Solche Regelungen würde ich nicht unbedingt als IT Abteilung veröffentlichen sondern die GF oder andere Leitungsebenen kommunizieren lassen.
Zitat von @DerNussi:
Würde ich so nicht unterschreiben.
Conditional Access als Stichwort. Das musst du aber dementsprechend gut anlegen, nicht dass du dir Geräte aussperrst, die du eigentlich benötigst. Solltest du aber in den Microsoft Docs finden.
Wenn O365 genutzt wird, reicht E-Mail Adresse + Kennwort. Das kannst du selbsterklärend dem User nicht verweigern...
Würde ich so nicht unterschreiben.
Conditional Access als Stichwort. Das musst du aber dementsprechend gut anlegen, nicht dass du dir Geräte aussperrst, die du eigentlich benötigst. Solltest du aber in den Microsoft Docs finden.
Habe ich bereits in meinem ersten Kommentar erwähnt. Natürlich muss man es richtig implementieren, so wie alles in unserem Job.
Du hast aus meiner Sicht zwei Optionen:
1. Via Conditional Access nur registriete Geräte zu lassen
2. In Kombination mit 1.) Intune MAM-Policies durchkonfigurieren und Zugang auf Firmendaten nur via den spezifischen Apps (Outlook, Excel etc).
Wird nun ein private Device genutzt, wird der Benutzer gezwungen entsprechende Schutzrichtlinien auf dem Privatgerät mitlaufen zu lassen.
Für Option solltest Du aber vorab eine BYOD (Bring your own device) Policy aufsetzen und bekanntgeben.
Sind Privatgeräte gar keine Option, dann via Option 1 entsprechend absichern und du hast Ruhe. Praktisch alle meiner Kunden nutzen Option 1.
1. Via Conditional Access nur registriete Geräte zu lassen
2. In Kombination mit 1.) Intune MAM-Policies durchkonfigurieren und Zugang auf Firmendaten nur via den spezifischen Apps (Outlook, Excel etc).
Wird nun ein private Device genutzt, wird der Benutzer gezwungen entsprechende Schutzrichtlinien auf dem Privatgerät mitlaufen zu lassen.
Für Option solltest Du aber vorab eine BYOD (Bring your own device) Policy aufsetzen und bekanntgeben.
Sind Privatgeräte gar keine Option, dann via Option 1 entsprechend absichern und du hast Ruhe. Praktisch alle meiner Kunden nutzen Option 1.
Nun - was die privaten Schutzrichtlinien angeht würde ich das aber auch mal prüfen lassen.. Admins meinen ja gerne das man sowas einfach mal einträgt und gut ist. Und wenn der MA dann das Unternehmen verlässt - was dann? Einfach das komplette Gerät löschen - wäre blöd wenn der danach sagt er wurde nicht rechtzeitig informiert und somit sind seine privaten Bilder auch gelöscht worden... (und wenn der nen Backup vom Gerät machen kann ist das ganze Löschen eh ziemlich sinnlos - dann hab ich vorher schon zig Screenshots gemacht und als Bild gespeichert...).
Von daher würde ich entweder das Risiko nehmen oder private Geräte eben ganz verbieten... Wobei es generell sinnlos ist - da die meisten "Daten" die ein Mitarbeiter nimmt eh unlöschbar sind -> in seinem Kopf... Keine Ahnung - wenn ich heute das Unternehmen verlassen würde müsste ich mir nix aufschreiben oder sonstwie "klauen". Ich weiss mit welchen Firmen ich rede (und kenne die Leute ja auch) -> email ist also meistens einfach weil vorname.nachname@firma... (wenn man denen nich eh schon gesagt hat das man geht und der Kontakt auf anderen Ebenen besteht). Passwörter ok, könnte ich mir nicht alle merken - wäre aber egal weil hoffentlich der Remote-Zugang für den MA eh gesperrt wird. Und meinen täglichen JOB brauche ich nicht aufschreiben, den mache ich ja... und wenn man die Firma wechselt ist ja grad die Erfahrung das was der neue AG idR gerne kaufen will... Von daher glaube ich in der aktuellen Situation wäre es schlimmer die Person zu verlieren als die Daten...
Von daher würde ich entweder das Risiko nehmen oder private Geräte eben ganz verbieten... Wobei es generell sinnlos ist - da die meisten "Daten" die ein Mitarbeiter nimmt eh unlöschbar sind -> in seinem Kopf... Keine Ahnung - wenn ich heute das Unternehmen verlassen würde müsste ich mir nix aufschreiben oder sonstwie "klauen". Ich weiss mit welchen Firmen ich rede (und kenne die Leute ja auch) -> email ist also meistens einfach weil vorname.nachname@firma... (wenn man denen nich eh schon gesagt hat das man geht und der Kontakt auf anderen Ebenen besteht). Passwörter ok, könnte ich mir nicht alle merken - wäre aber egal weil hoffentlich der Remote-Zugang für den MA eh gesperrt wird. Und meinen täglichen JOB brauche ich nicht aufschreiben, den mache ich ja... und wenn man die Firma wechselt ist ja grad die Erfahrung das was der neue AG idR gerne kaufen will... Von daher glaube ich in der aktuellen Situation wäre es schlimmer die Person zu verlieren als die Daten...
Hi 
Also aus meiner Sicht spielen da (wie hier auch schon erwähnt wurde) viele verschiedene Faktoren eine Rolle:
Zunächst müsstet ihr eure Nutzungsszenarien genauer definieren:
Bei beiden gibt es die Möglichkeit Container einzurichten, die dann jeweils nur die privaten Apps und die geschäftlichen Apps (diese sind dann bei Android mit einem kleinen Arbeitsköfferchen gekennzeichnet) enthalten. Dies wird vor allem bei BYOD (Bring your Own device) aber auch bei COPA (Company Owned, Private Enabled = Gerät wird über die Firma bestellt darf aber von den Mitarbeitenden privat genutzt werden)
Nun muss man allerdings bedenken, dass ab Android 11 es nicht mehr möglich ist, als Admin auf die private Seite des Gerätes zuzugreifen, z.B. via MDM. (Was ist euch sowieso empfehlen würde einzurichten, falls noch keines vorhanden) Android lebt die Policy dass Privates auch Privat bleibt, was im Zuge der DSGVO nur konsequent ist.
Mir scheint es so, als dass es bei euch eine Art inoffizielle BYOD Politik gibt - das kann aber aus Datenschutzrechtlicher Sicht durchaus problematisch werden. Würdet ihr eine Container Lösung wie oben beschrieben nutzen, könnte zumindest der Datentransfer vom geschäftlichen zum privaten Account vermieden werden.
Pauschal verbieten sollte man meiner Meinung nach beide Apps nicht. Da gerade die Teams App natürlich dazu beiträgt dass Mitarbeitende mobil arbeiten können.
Eure Geschäftsleitung muss da anscheinend aber definitiv nochmal ein bisschen drüber nachdenken :D
Ich hoffe das war hilfreich!
VG
Also aus meiner Sicht spielen da (wie hier auch schon erwähnt wurde) viele verschiedene Faktoren eine Rolle:
Zunächst müsstet ihr eure Nutzungsszenarien genauer definieren:
Bei beiden gibt es die Möglichkeit Container einzurichten, die dann jeweils nur die privaten Apps und die geschäftlichen Apps (diese sind dann bei Android mit einem kleinen Arbeitsköfferchen gekennzeichnet) enthalten. Dies wird vor allem bei BYOD (Bring your Own device) aber auch bei COPA (Company Owned, Private Enabled = Gerät wird über die Firma bestellt darf aber von den Mitarbeitenden privat genutzt werden)
Nun muss man allerdings bedenken, dass ab Android 11 es nicht mehr möglich ist, als Admin auf die private Seite des Gerätes zuzugreifen, z.B. via MDM. (Was ist euch sowieso empfehlen würde einzurichten, falls noch keines vorhanden) Android lebt die Policy dass Privates auch Privat bleibt, was im Zuge der DSGVO nur konsequent ist.
Mir scheint es so, als dass es bei euch eine Art inoffizielle BYOD Politik gibt - das kann aber aus Datenschutzrechtlicher Sicht durchaus problematisch werden. Würdet ihr eine Container Lösung wie oben beschrieben nutzen, könnte zumindest der Datentransfer vom geschäftlichen zum privaten Account vermieden werden.
Pauschal verbieten sollte man meiner Meinung nach beide Apps nicht. Da gerade die Teams App natürlich dazu beiträgt dass Mitarbeitende mobil arbeiten können.
Eure Geschäftsleitung muss da anscheinend aber definitiv nochmal ein bisschen drüber nachdenken :D
Ich hoffe das war hilfreich!
VG
Habe ich bereits in meinem ersten Kommentar erwähnt. Natürlich muss man es richtig implementieren, so wie alles in unserem Job.
Mein Fehler!
Wenn man die Nachrichten nur halblebig liest und trotzdem seinen Senf dazu geben will, sorry.
