Wenige von uns möchten zwei Mobilgeräte verwenden bzw. ein günstiges Endgerät mit schwacher Leistung privat oder beruflich nutzen, obwohl parallel ein leistungsfähigeres Mobilgerät zur Verfügung steht, das ebenfalls die Nutzung einer zweiten (e-)SIM-Karte ermöglicht.
Wie kann Miradore dabei unterstützen, ein einziges Endgerät privat und geschäftlich zu nutzen und damit Kosten zu sparen?
Wir haben in diesem Blogbeitrag für Sie verschiedene Szenarien mit konkreten Beispielen aufgelistet. Wenn es schnell gehen soll, finden Sie hier eine kompakte Übersicht über die verschiedenen Verwaltungsmethoden.
Android
BYOD (Bring your own Device) / Work Profile / Profile Owner
Handelsübliche Android Geräte ab Android 7 erlauben die Erstellung eines Arbeitsprofils auf Android-Endgeräten durch die Google Play Services. Dieses Profil ist nahezu wie ein zweites Android-System. In diesem Arbeitsprofil können Apps auch dann installiert werden, wenn diese bereits auf dem Smartphone (privater Bereich) genutzt werden. Das Arbeitsprofil kann bei aktuellen Android-Versionen auch abgeschaltet werden, um außerhalb der Arbeitszeit nicht durch Benachrichtigungen von Apps im Arbeitsprofil gestört zu werden.
Daten im Arbeitsprofil werden von Daten im privaten Bereich getrennt. Einzig die Identifizierung der Anrufe (für welche keine Trennung vom Betriebssystem vorgesehen ist) kann bereichsübergreifend erfolgen.
Auch die bereichsübergreifende "Copy-Paste" Funktion kann gesperrt werden. Zudem können weitere Funktionen wie z.B. Screenshots gesperrt werden, wenn der Screenshot die Anzeige einer App aus dem Arbeitsprofil aufnehmen würde. So sind Unternehmensdaten geschützt, und gleichzeitig ist für den Schutz der Privatsphäre gesorgt. Das Unternehmen kann zwar die Apps sehen, die bei der Einrichtung des Arbeitsprofils auf dem Endgerät installiert waren, jedoch nicht später installierte Apps.
Erfolgt eine Fernlöschung über das MDM, wird ausschließlich das Arbeitsprofil entfernt. In diesem Verwaltungsmodus ist es für den Nutzer am Endgerät möglich, das Arbeitsprofil jederzeit selbstständig zu entfernen.
Wichtig zu beachten:
- Unternehmensdaten sind abgesichert und der Schutz der Privatsphäre ist gewährleistet.
- Das Unternehmen kann die Entfernung aus der Verwaltung nicht verhindern.
- Das Unternehmen kann keine Systemupdates steuern, was eventuell ein Sicherheitsrisiko darstellen kann.
- Sie können das Arbeitsprofil nur auf ein bereits eingerichtetes Gerät aufbringen.
- Verfügbar ab Android 7.
- Kein Zugriff auf den Privatbereich möglich, somit kann dort die Nutzung gewisser Anwendungen, Dienste oder das Ändern von Einstellungen nicht unterbunden werden.
COPE (Company owned, personal Enabled) /Fully Managed with Workprofile/ Work Profile on Fully Managed Device
Handelsübliche Android Geräte ab Android 11 erlauben die Erstellung eines Arbeitsprofils auf einem verwalteten Gerät. Der Funktionsumfang ist derselbe wie beim Work Profile. Zudem kann das Gerät aus dem Werkszustand registriert werden, was eine schnelle Einrichtung ermöglicht. Darüber hinaus stehen weitere Funktionen zu Verfügung, wie die Steuerung der Systemupdates, das Fernlöschen des gesamten Gerätes und es kann sichergestellt werden, dass Benutzer das Gerät nicht aus der Verwaltung entfernen kann.
Wichtige Aspekte, die beachtet werden sollten:
- Unternehmensdaten sind abgesichert und der Schutz der Privatsphäre ist gewährleistet.
- Das Unternehmen kann die Entfernung aus der Verwaltung verhindern.
- Private Daten können durch das Unternehmen nicht „unabsichtlich“ eingesehen werden, ABER sie können durch eine Fernlöschung des Gerätes gelöscht werden.
- Das Unternehmen kann Systemupdates steuern und dadurch für mehr Sicherheit sorgen.
- Sie können den COPE-Modus nur für Geräte aktivieren, die sich im Werkszustand befinden.
- Verfügbar ab Android 11.
- Es ist kein Zugriff auf den Privatbereich möglich, womit dort die Nutzung gewisser Anwendungen, Dienste und das Ändern von Einstellungen nur sehr eingeschränkt beeinflusst werden kann.
iOS
Zugriff auf Daten aus verwalteten Quellen für manuell installierte Apps unterbinden
Unter iOS erfolgt die Trennung von privaten und Unternehmensdaten über eine Kennzeichnung der Apps und Daten als "verwaltet" und "nicht verwaltet."
Alle Apps und Konten/Accounts, die via MDM auf das Endgerät aufgebracht werden, sind als "verwaltet" gekennzeichnet. Daten aus diesen Apps/Accounts - wie z.B. ein PDF, das man als Anhang in der Outlook-App erhalten hat, die durch das MDM installiert wurde, können nicht mit einer vom User selbst installierten App, wie etwa WhatsApp, geteilt werden.
Apps können jedoch nicht mehrfach installiert werden. D.h. wenn die Outlook App durch das MDM installiert wird, ist dies eine verwaltete App. Einzig die System Apps, wie die Mail-App differenzieren auf Konto/Account Ebene, d.h. der manuell eingerichtete private E-Mail-Account kann Daten mit anderen manuell installierten Apps teilen. Der durch das MDM verteilte berufliche E-Mail-Account kann beispielsweise Anhänge nur mit Apps teilen, die auch durch das MDM installiert wurden.
Diese Trennung kann durch die Aktivierung der Restriktion für iOS – unter „Security & privacy“ aktiviert werden („Deny documents from managed sources in unmanaged destination“).
Kontakte sind hiervon jedoch ausgenommen. Liefert beispielsweise ein Exchange Account auch Firmenkontakte aus – die Sie auf jeden Fall schützen sollten – müssen Sie dies separat aktivieren. Diese Trennung kann durch die Aktivierung der Restriktion für iOS – unter „Security & Privacy“ aktiviert werden („Deny reading contacts from managed sources to unmanaged destination” bzw. „Deny writing contacts from managed sources to unmanaged destination“).
Ist eine Trennung zwischen privaten und beruflichen Kontakten aktiviert, können Apps mit wenigen Ausnahmen, wie u.a. der nativen Mail App keine Kontakte in die Systemdatenbank schreiben. Nutzen Sie also beispielsweise die Outlook-App, welche einen Kontakt vom Exchange Server erhält, erfolgt bei einem Anruf keine Erkennung der Person.
Natürlich können Sie den Kontakt in der App sehen und anrufen. iOS bietet hierfür eine technische Lösung namens CallKit, die jedoch nicht in die Outlook-App implementiert wurde. Hiermit können Apps Kontakte in einer speziellen Datenbank registrieren, womit die Anruferkennung möglich wird, obwohl die Daten für keine andere Anwendung sichtbar sind. Damit ist höchster Datenschutz gewährleistet.
Folgende Apps unterstützen CallKit: HubSpot (CRM), Secure PIM oder nContacts (ideal für einen Test der Funktion). Achtung: Die CallKit Integration muss in den iOS-Einstellungen unter "Telefon > Anrufe blockieren und identifizieren" für die jeweilige App aktiviert werden.
Ab iOS 15 kann die Funktion "Copy & Paste" über die Restriktion "Require managed copy and paste" zwischen verwalteten und nicht verwalteten Daten unterscheiden.
Wichtig zu beachten:
- Das Unternehmen kann immer alle Apps auf dem Endgerät sehen. Dies ist auch dann der Fall, wenn diese manuell durch den User installiert wurden.
- Das Unternehmen kann immer das gesamte Gerät fernlöschen. Hiervon sind auch die privaten Daten betroffen.
- Apps können nicht mehrfach installiert werden, daher bieten einige App Hersteller wie WhatsApp zwei Versionen (WhatsApp & WhatsApp for Business) an.
- Private Daten können durch das Unternehmen nicht eingesehen werden, ABER das Unternehmen sieht alle installierten Apps.
- Diese Funktionen sind ab iOS 13 verfügbar.
Kontaktieren Sie mich bei detaillierten Fragen gerne per E-Mail oder telefonisch, meine Kontaktdaten finden Sie hier.
Von Andreas Handler
Andreas arbeitet als Senior Technical Consultant und Customer Success Manager bei Miradore. Er ist seit 2016 Teil der Miradore-Familie und begeistert sich dafür, Organisationen einen Mehrwert zu bieten, indem er ihnen zeigt, wie sie ihre Effizienz mit Mobile Device Management steigern können. In seiner Freizeit trifft man ihn beim Bouldern oder Volleyballspielen.
