Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 5: | Zeile 5: | ||
{{var | neu--Datenschutz beim MDM Standortbestimmung | {{var | neu--Datenschutz beim MDM Standortbestimmung | ||
| [[# | | [[#Datenschutz_im_MDM_bei_Standortbestimmung|Datenschutz beim MDM Standortbestimmung]] | ||
| }} | | }} | ||
Version vom 26. November 2024, 09:25 Uhr
FAQ
Letzte Anpassung: 11.2024
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Vor der Inbetriebnahme
Software und Server
Wo kommt die Software her? Muss ein eigener Server betrieben werden?- Antwort
Die Securepoint Mobile Security ist ein Cloud-Service, der durch Securepoint bereit gestellt wird.
Android und Apple Mobilgeräte kommunizieren ausschließlich mit Servern von Apple bzw. Google, die von uns angesprochen werden.
Eigene Soft- oder Hardware ist nicht erforderlich und auch nicht möglich.
Android und Apple Mobilgeräte kommunizieren ausschließlich mit Servern von Apple bzw. Google, die von uns angesprochen werden.
Eigene Soft- oder Hardware ist nicht erforderlich und auch nicht möglich.
MDM und Mobile Security
Was ist der Unterschied zwischen dem MDM und Mobile Security?- Antwort
- Mobile Device Management (MDM) ist Geräteverwaltung, Appinstallation, und das Setzen der Geräteeinstellungen
- Mobile Security (MobSec) ist all das PLUS der VPN Tunnel in unser Rechenzentrum mit verschlüsselter Kommunikation & Contentfiltering
Empfohlene Androidgeräte
Was für Androidgeräte werden empfohlen?- Antwort
Es werden offiziell alle Geräte > Android 7 unterstützt. Securepoint kann hier, aufgrund der großen Gerätevielfalt im Android Ökosystem, keine direkte Empfehlung aussprechen. Von Google wird allerdings eine Sammlung an Geräten bereitgestellt, welche gegen die, von uns genutzt, API zertifiziert wurde:
https://androidenterprisepartners.withgoogle.com/devices/
Geräte verschieben
Können Geräte von einem Mandanten in einen anderen verschoben werden?- Antwort
Nein, dies ist weder für iOS noch für Android möglich.
Portal
Geräte löschen
Wie werden Geräte gelöscht?- Antwort
- Über Operationen auf die Schaltfläche geklickt, um das Gerät zurückzusetzen. wird die entsprechende Gerätekachel ausgewählt, im Reiter
- Anschließend die entsprechende Kachel löschen, wenn sich das Gerät als ausgeloggt meldet.
- Android Geräte werden zurückgesetzt, indem die Gerätekachel gelöscht wird.
iOS:
Android:
Windowsgeräte
Können mit dem MDM auch Windowsgeräte gesteuert werden?- Antwort
Nein. Mit dem MDM können ausschließlich Geräte mit den Betriebssystemen iOS, iPadOS, tvOS oder Android gesteuert werden. Kein Windows.
.apk-Dateien
Können auf einem Android Gerät .apk-Dateien installiert werden?- Antwort
- Geräteintegrität geht verloren
- Keine echte Kontrolle mehr über das Gerät
- Kein Updatekanal
- Kein Integritätscheck der App durch App-Store
Grundsätzlich ja, dennoch wird dringend von der Verwendung von APK Dateien auf den Geräten abgeraten. Folgende Probleme können auftreten:
Updates von Apps
Wie werden Updates von Apps durchgeführt?- Antwort
- Das Gerät ist mit einem WLAN verbunden.
- Das Gerät wird geladen.
- Das Gerät ist inaktiv (wird also nicht aktiv genutzt).
- Die zu aktualisierende App wird nicht im Vordergrund ausgeführt. Bei Google Play wird normalerweise einmal täglich nach App-Updates gesucht. Daher kann es bis zu 24 Stunden dauern, bis eine App zur Update-Warteschlange hinzugefügt wird. Anschließend wird sie automatisch aktualisiert, sobald die oben genannten Voraussetzungen zutreffen.
- Apps: Apps werden, wenn das Gerät im Appstore angemeldet ist täglich automatisch installiert. Wird aus dem Portal ein Installationsbefehl einer App an ein Gerät gesendet und diese App ist bereits installiert, wird umgehend ein Appupdate durchgeführt.
- VPP Apps: VPP Apps werden jede Nacht automatisch auf Updates geprüft und unabhängig von der genutzten WWAN Verbindung der Geräte, auf die Geräte gepusht. Dies kann im Portal unter Automatische App-Updates global deaktiviert werden.
Android: Standardmäßig werden Apps automatisch aktualisiert, wenn folgende Voraussetzungen zutreffen:
iOS:
Kontakt von iOS Geräten
Was bedeutet Kontakt bei iOS Geräten?- Antwort
Die eingebundenen iOS Geräte stellen standardmäßig keinen selbstständigen Kontakt mit dem Portal her. Kontakt in der Gerätekachel bezeichnet den letzten Zeitpunkt, an dem aus dem Portal ein Befehl an das Gerät gesendet wird und das Gerät den Erhalt des Befehls bestätigt hat.
iOS-Geräte ohne AppleID
Können auch iOS-Geräte ohne AppleID genutzt werden?- Antwort
iOs-Geräte können problemlos ohne AppleID betrieben werden. Hierzu ist die vollständige Integration des DEP & VPP erforderlich. Dies ist die von Securepoint empfohlene Betriebsart. Weitere Anleitungen hierzu finden sich in unserem Wiki.
iOS-Geräte antworten nicht
Was ist zu tun bei iOS-Geräten, die nicht antworten?- Antwort
- Es muss sichergestellt werden, dass die Geräte eingeschaltet und mit dem Internet verbunden sind.
- Besteht eine Verbindung mit dem Internet stellen Sie bitte sicher, dass die Kommunikation nicht behindert oder eingeschränkt wird.
- Ggf. einen Accesspoint von einem Smartphone verwenden
- Apple Push Zertifikat prüfen
- Verschlüsselt die Verbindung zwischen dem Portal und den Geräten
- Muss jährlich verlängert werden
- Wenn bei der Verlängerung ein neues Zertifikat eingespielt wird, statt das alte Zertifikat zu verlängern, verlieren Sie die Kommunikation zu den Geräten, welche das alte Zertifikat nutzen.
- Vergleichen, ob das Apple Push Zertifikat im Portal und auf dem Gerät gleich sind:
- Apple Push Zertifikat auf die Schaltfläche Aktualisieren klicken, dort unter 2. bei Hier ist eine Liste Ihrer letzten Uploads den Zertifikaten unter UID bei
- Gerät | Einstellungen | Allgemein | VPN und Geräteverwaltung | Securepoint MDM | Mehr Details | Mobile Device Management | Thema
- Diese beiden Werte müssen identisch sein.
- Sollten die Werte nicht identisch sein, ist ein neues Zertifikat im Portal hochgeladen, wodurch die Geräte nicht mehr erreicht werden können. Das alte Zertifikat muss verlängert und erneut eingespielt werden. Geräte, die mit dem neuen Zertifikat enrolled worden sind, müssen anschließend neu enrolled werden.
- Sollte trotz korrektem Zertifikat die Gräte nicht erreichbar sein:
- Ist die Kommunikation durch einen fehlerhaften VPN-Tunnel unterbrochen?
- Blockt die Firewall die Kommunikation?
- Hosts und Netze, die erreichbar sein müssen: 17.0.0.0/8, portal.securepoint.cloud, dns-001.securepoint.de, ios.securepoint.cloud
- Ports, die nicht blockiert sein dürfen: 53, 80, 123, 443, 2197, 5223
Website in den Stats
Warum ist nicht jeder Aufruf einer Webseite in den Statistiken vorhanden?- Antwort
Für die Statistiken muss Mobile Security genutzt werden. Die Statistiken zählen Aufrufe des Proxys. Daten, welche vom Browser gecachet werden, tauchen hier nicht auf.
Streaming-Dienste bei VPN Sicherheitsfunktion
Wieso funktionieren Streaming-Dienste, wie Netflix oder Amazon Prime Video, nicht, wenn die VPN Sicherheitsfunktion aktiv ist?- Antwort
Streaming-Dienste verwenden in der Regel IP-basiertes Geo-Blocking, um dem Nutzungsrecht der Inhalte zu entsprechen.
Ist VPN aktiv, ist die eigentliche IP-Adresse der Einwahl und damit die geographische Zuordnung beim Streaming-Provider nicht sichtbar.
DEP-Profile: nächste Inbetriebnahme
Was bedeutet die Anzeige bei DEP-Profilen: Wird erst mit der nächsten Inbetriebnahme angewendet?- Antwort
Die DEP-Profile bestimmen die Dialoge, welche bei der Inbetriebnahme des iOS Gerätes im Installationsassistenten angezeigt werden. Damit diese korrekt angewendet werden, muss die Zuweisung vor der ersten Initialisierung des Gerätes erfolgen.
AGB in der VPN App
Warum müssen die AGB in der VPN App explizit durch den User angenommen werden?- Antwort
Sowohl Apple als auch Google verlangen, dass die Nutzer über die Verwendung der Daten informiert werden bzw. die Einwilligung zur Nutzung bekunden, bevor ein VPN-Dienst genutzt werden darf.
Datenschutz im MDM bei Standortbestimmung
Bestehen Datenschutzrisiken für Nutzer bei der Ortung von Geräten (Aktivierung des Lost-Modus)?- Antwort
- a) Vollverwaltung: Geräte sind Eigentum des Unternehmens, private Apps und Daten sind untersagt (COBO - Company owned, business only)
- Mobile Endgeräte können grundsätzlich/ohne Ausnahme nur geortet werden, wenn die Ortung administratorseitig aktiviert wird. Bei Aktivierung wird ausschließlich der Standort zum Zeitpunkt der Ortung geloggt.
- Nutzer erhalten dabei für jeden einzelnen Ortungsvorgang automatisch und unmittelbar eine Notification über das betroffene Gerät, sodass eine heimliche Ortung nicht möglich ist.
- b) Teilverwaltung: Geräte sind Eigentum des Unternehmens, private Apps und Daten sind erlaubt (COPE - Company owned, personal enabled)
- Es gilt das Gleiche wie unter a) mit dem Unterschied, dass zusätzlich die Einwilligung des Endgerätenutzers auf dem Endgerät erforderlich ist, bevor administratorseitig die Ortung aktiviert werden kann.
- c) Private Endgeräte mit Apps und Daten für Arbeitszwecke (BYOD - Bring your own device)
- Für private Endgeräte, die betrieblich genutzt werden ist keine Ortung möglich.
Grundsätzlich dient die Ortung von mobilen Endgeräten im konkreten Einzelfall dem Zweck der Standortbestimmung z.B. bei Verlust oder Diebstahl. Den schutzwürdigen Interessen der Nutzer wurde bereits bei der Entwicklung Rechnung getragen, um eine potenzielle heimliche Kontrolle der Nutzer z.B. durch die Erstellung eines Bewegungsprofils auszuschließen (Privacy by Design and Default).
Es ist dabei zu unterscheiden zwischen: