Verwaltetes iPhone klonen

Moin,

[...]

Wenn es sich um ein neues Firmentelefon handelt, dann musst du mit der IT sprechen, die IT kann das i.d.R. Backuppen und das Backup auch einspielen.

Wenn es sich bei deinem neuen Telefon um ein privates Telefon handelt, begehst du mal ganz nebenbei eine Reihe Rechtsverstöße, von Sicherheits-Richtlinien, bis hin zum Bruch vom Datenschutz. Bei uns würdest du nur für den Gedanken gefeuert werden. Lass das also lieber sein.

[Vom Moderator bearbeitet]

In dieser Konstellation besteht kein Datenleak, aber prinzipiell kannst du nicht davon ausgehen, das überall das so durch exorziert wird. Die meisten Firmen machen gar nix. Manche haben ein MDM, machen fahren das volle Programm. Und viele wurschtelt irgendwo dazwischen herum.

ich geh meistens halt von einen simplen (meinst nachträglich eingeführten) MDM aus (wahrscheinlich auch nicht richtig) dann bekommen die Mitarbeiter meist ein schlechtes Gewissen und kaufen sich private Geräte und wollen ihre privaten Daten/Apps auf das private Geräte überspielen da sie die Firmen Geräte ja jahrelang privat genutzt haben und das ist in den meisten Fällen (außer bei euch) ja auch möglich da die MDMs bzw. Apple ja auf Seriennummern prüft sobald sich die Seriennummer beim Backup/Wiederherstellen ändern schaut das Gerät nach ob es sich in einem MDM befindet oder nicht, dann werden die MDM nicht übertragen bzw. Neu installiert.

Wir haben auch alle möglich Zertifizierung und haben regelmäßig audits die diese überprüfen und trotzdem kannst du die Motivation nicht verhindern die suchen sich Wege um alles mögliche auszuheben. Und unsere Mitarbeiter nutzen ihre Geräte halt auch privat da kannst du halt die Geräte nicht so abschotten wie bei euch da muss man halt mit Container und VPNs arbeiten welche nur auf Firmen iPhones laufen

Ja genau, durch eure Richtlinien (die ihr als Admin natürlich vorrübergehend aushebeln könnt - Beispiel bei uns s.o.) kann der Mitarbeiter selbst die Geräte nicht backupen und auch keine Wiederherstellung machen.

Ich weiß nicht, ob es bei Sophos eine Möglichkeit des Excludes gibt und ein wenig kommt es auch drauf an, ob die Geräte bei Bestellung schon im ABM auftauchen oder nachträglich hinzugefügt worden sind (Configurator 2). Bei letzterem ist immer eine Neuinstallation des System von nöten. Bei ersterem kann man das wie oben beschrieben machen.

Managed Apple Ids verbieten einige Services. Hier findest du eine Auflistung derer: Verwaltete Apple‑IDs in Apple Business Manager verwenden - Apple Support (DE)

Bitte kontaktiere hierzu direkt das bundesweite Business Team unter der Nummer; 0800 0003666 (D), die Mitarbeiterinnen dort können dir weiterhelfen. Alternativ kannst du auch immer das Business Team eures bevorzugten Apple Stores kontaktieren. Dort seid ihr doch auch sicher als Businesskunden geführt?!

Wir verbieten bei uns ausschließlich die private Nutzung von Firmeneigentum.

Das ist bei uns folgendermaßen gesichert.

IdP Okta. New Hire wird in unsere HR Verwaltung eingeführt. Diese Informationen gehen an Okta. Okta sagt dann anhand der Rolle, welchen Zugriff bekommen werden soll und meldet an Jamf die Lizenz. Parallel erstellt Okta eine Managed Apple ID, die mit Google Workspace (email anbieter) zusammen erstellt wird.

Bedeutet, wenn der Mitarbeiter sein Gerät anmeldet, dann hat er bereits eine Managed Apple ID, die für nichts verwendet werden kann außer der Arbeit.

Wir sperren sämtliche Funktionen, die nicht für die Arbeit notwendig sind, so z.B. Backups. Backups in Managed Apple Ids ist zumal gar nicht möglich (zumindest nicht die iCloud).

Außerdem sperren wir USB Ports, sodass es nicht möglich ist, das iPhone zu verbinden.

Nur und ausschließlich wir in der IT können uns selbst aus Jamf befreien, was strikt im Ticketsystem als Change hinterlegt sein muss. Diese Change ID muss dann bei Notizen für die Begründung des Excludes angegeben werden. Ist der Change geschlossen, so gelten auch für die IT wieder die normalen Richtlinien.

Das vorgehen ist mit unserer Rechtsabteilung und externen Anwälten abgestimmt. Keine Ahnung was daran nun Datenleak sein soll :)

Im Übrigen sind wir ISO27001, ISO9001 und SOC2, SOC3 sowie FedRAMP Certified. Noch Fragen?

Ich denke eher ihr habt ein Datenproblem, wenn ihr so etwas genehmigt :)

Hallo,

das muss alles aktiviert sein. Wenn das MDM das nicht zulässt musst du das mit der IT besprechen.

LG

Wieder habe ich mich verklickt. Das ist nicht richtig. Die MDM Einstellungen werden bei einem Backup zwar nicht übernommen, aber eine Firma macht i.d.R eine Adminsperre, sodass ein Backup gar nicht erst möglich ist.

Dann habt Ihr ein Data Leak Problem.

Meine geschäftlichen Daten sind in Container gesichert bzw. auf Clouds die ich nur vom Firmen Geräten erreiche die werden beim Backup nicht berücksichtigt, der Rest sind meine privaten Daten und die kann mit einem Backup und einer Wiederherstellung auf mein privates Gerät einspielen falls ich die Firma verlasse oder meine privates Gerät von meinem Geschäftlichen trennen möchte

Naja meines Erachtens nach sollte es relativ einfach sein.

Wir erlauben weder BYOD, noch Privatnutzung des Firmeneigentums, noch die Verwendung von nicht Firmeneigentum in unserem Office Netzwerk.

Deshalb und gerade weil MA das in Ihrem Arbeitsvertrag und der Anhängenden Acceptable Use Policy, sowie der Vereinbarung zur Verwendung von Privatgeräten am Arbeitsplatz unterschrieben haben, kann ich dir sagen gibt das bei uns ein Disziplinarverfahren, was auch mal (je nach Schwere des Bruchs und dem finanziellen Aufwand der Behebung) zu einer schriftlichen Abmahnung oder Kündigung führen kann.

Der Andere Weg und der gefiele mir persönlich besser und den werde ich mal überprüfen wäre es mit Containern zu arbeiten. Hier wäre es hilfreich ob du dazu infomaterial hast, dass ich mich mal da einlesen kann. Auch ist es interessant, ob eure Services ausschließlich per VPN erreichbar sind und wie ihr das z.B. mit Exchange 365 gelöst habt. Das ist beispielsweise bei uns über Okta > Google Workspace gesteuert, aber die Website ist nach wie vor mail.gooogle.com wenn du verstehst was ich mein. Und diese ist aus dem WWW erreichbar.

Off Topic:

Wir haben auch kein BYOD und auch Vereinbarungen die Unterschrieben werden aber keiner haltet sich drin, wir haben halt kein Whitelisting/Blacklisting von Apps zu hoher Administrativer aufwand.

Ja ich finde die Container Lösungen eigentlich nicht schlecht. Durch die neueren Geräte von Apple finde ich eigentlich nicht mehr zeitgemäß mit 2 Telefonen und 2 iPads herumzulaufen, hat mich halt persönlich genervt. Leider ist die DualSim Funktionalität am iPhone noch so ausgereift wie erhofft warum ich aktuell meine Geschäftlichen & privaten Geräte wieder getrennt habe. Außerdem hab ich an meine Privaten Geräte einen anderen Fokus als an meine geschäftlichen. Wäre es hier nicht möglich gewesen mein geschäftliches Gerät in mein privates zu restoren wäre glaube ich eine Welt für mich zusammengebrochen ich habe Daten seit dem iPhone 2G auf meinen iPhone

Info Material hab ich keines ich hab das halt die letzten Jahre aufgebaut, ich kann dir einen kurzen Einblick geben: Wir haben Blackberry im Einsatz ist Nato Zertifiziert und braucht nur einen Port für die externe Kommunikation. Die MDM Server sind Firewalltechnisch in einem eigenen vLan und bekommen halt nur die Freischaltungen welche sie wirklich benötigen Exchange onPrem, FileServer, Intranet etc.

Office365 haben wir so gelöst das unser ADFS nicht von extern erreichbar ist. Also entweder per VPN (bzw. AppVPN), Exchange Online sind wir gerade in der Migration.

Bin mir aber sicher die Hersteller können dir das zur Verfügung stellen bzw. eine Demo zeigen/einrichten. Das macht es auch nicht immer leichter, Aktuell arbeite ich an einem HoloLens Projekt und kämpfe hier gerade mit den Einschränkungen des Sicherheitskonstrukts welches wir uns geschaffen haben..aber ist ein anderes Thema

Bei uns ist das halt auch sehr stark historisch gewachsen wir haben damals nur Führungskräften/Vorstand Mobiltelefone gegeben, dann kamen die e-Mails auf die Mobiltelefone. Dann wurden mehr Mitarbeiter mit Telefonen ausgestattet und dann hat sich die IT einfach rasant entwickelt. Irgendwann kamen wir beim iPad/iPhone an. Dann wurde dieses Gerät noch als seltenes gut behandelt. Damals reichte es aus einfach die Geräte mit ActiveSync Einstellungen vom Exchange zu verwalten. Da war es schon ein Highlight die Geräte mit einem Sperrcode auszustatten.

So und jetzt sind wir durch die Pandemie in eine neue (hybride) Arbeitswelt geschlittert, jeder Mitarbeiter ist nicht mehr an den Standort gebunden und Sie wollen alles von überall auf jedem Gerät machen können. Die Mitarbeiter bei uns haben ihre Telefone/iPhones immer privat genutzt und ihnen wurde das aus der Historie heraus als inoffizielle Gehaltserhöhung verkauft, führer waren die Telefontarife noch teuerer und das Angebot war auch nicht das selbe wie heute dann brauchst du halt Lösungen und musst halt akzeptable Lösungen finden. Noch dazu hast du einen Fachkräftemangel uns musst halt einen Benefit erzeugen. Dies ist bei uns jetzt die private Nutzung. Alles haben wir auch nicht erlaubt aber einiges.

Ich finde eure Lösung natürlich auch eine schöne runde Sache, aber das nachträglich einzuführen ist richtig schwierigen und müsste halt von allen getragen werden. Vorstand/Führungskräfte/Betriebsrat/Mitarbeiter/IT/HR etc…..naja und der Fisch beginnt immer am Kopf zu stinken.

Christine,

Erkläre mir mal was das business team hier machen soll.

Das Business Team ist für den Verkauf von Waren und dem Support vom ABM/Enterprise Services zuständig.

Für einen Support im Enterprise segment benötigt man eine ganz andere Telefonnummer und braucht zudem einen Apple Care Plus für Enterprise Vertrag.

Aber Hauptsache man hat wieder irgendwas kommentiert

Vielen Dank für den Hint. Ich habe mal mitgeschrieben und werde mich mal versuchen schlau zu lesen. Wie gesagt vieles bei uns rund um die Identität wird ja von Okta getragen, vielleicht kann man darüber auch konfigurieren und per MDM (Jamf) auch BYOD irgendwann mal freigeben ohne allen Mitarbeitern alles zu verbieten. Alles Natürlich in Rücksprache mit InfoSec :D

Herzlichen Dank.

Beste Grüße,

Simples Backup und Wiederherstellung sollte funktionieren, die MDM Einstellungen sollten eigentlich nicht übernommen werden