Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 5: Zeile 5:


{{var | neu--Datenschutz beim MDM Standortbestimmung
{{var | neu--Datenschutz beim MDM Standortbestimmung
| [[#Datenschutz_beim_MDM_Standortbestimmung|Datenschutz beim MDM Standortbestimmung]]
| [[#Datenschutz_im_MDM_bei_Standortbestimmung|Datenschutz beim MDM Standortbestimmung]]
|  }}
|  }}



Version vom 26. November 2024, 09:25 Uhr






























De.png
En.png
Fr.png








FAQ
Letzte Anpassung: 11.2024
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-



Vor der Inbetriebnahme

  • Software und Server

    Wo kommt die Software her? Muss ein eigener Server betrieben werden?
  • Antwort

    Die Securepoint Mobile Security ist ein Cloud-Service, der durch Securepoint bereit gestellt wird.
    Android und Apple Mobilgeräte kommunizieren ausschließlich mit Servern von Apple bzw. Google, die von uns angesprochen werden.
    Eigene Soft- oder Hardware ist nicht erforderlich und auch nicht möglich.


  • MDM und Mobile Security

    Was ist der Unterschied zwischen dem MDM und Mobile Security?
  • Antwort

    • Mobile Device Management (MDM) ist Geräteverwaltung, Appinstallation, und das Setzen der Geräteeinstellungen
    • Mobile Security (MobSec) ist all das PLUS der VPN Tunnel in unser Rechenzentrum mit verschlüsselter Kommunikation & Contentfiltering


  • Empfohlene Androidgeräte

    Was für Androidgeräte werden empfohlen?
  • Antwort

    Es werden offiziell alle Geräte > Android 7 unterstützt. Securepoint kann hier, aufgrund der großen Gerätevielfalt im Android Ökosystem, keine direkte Empfehlung aussprechen. Von Google wird allerdings eine Sammlung an Geräten bereitgestellt, welche gegen die, von uns genutzt, API zertifiziert wurde: https://androidenterprisepartners.withgoogle.com/devices/


  • Geräte verschieben

    Können Geräte von einem Mandanten in einen anderen verschoben werden?
  • Antwort

    Nein, dies ist weder für iOS noch für Android möglich.

    Portal

  • Geräte löschen

    Wie werden Geräte gelöscht?
  • Antwort

    iOS:
    • Über  Mobile Security iOS/iPadOS Geräte wird die entsprechende Gerätekachel ausgewählt, im Reiter Operationen auf die Schaltfläche   Daten löschen geklickt, um das Gerät zurückzusetzen.
    • Anschließend die entsprechende Kachel löschen, wenn sich das Gerät als ausgeloggt meldet.


    Android:

    • Android Geräte werden zurückgesetzt, indem die Gerätekachel gelöscht wird.


  • Windowsgeräte

    Können mit dem MDM auch Windowsgeräte gesteuert werden?
  • Antwort

    Nein. Mit dem MDM können ausschließlich Geräte mit den Betriebssystemen iOS, iPadOS, tvOS oder Android gesteuert werden. Kein Windows.


  • .apk-Dateien

    Können auf einem Android Gerät .apk-Dateien installiert werden?
  • Antwort

    Grundsätzlich ja, dennoch wird dringend von der Verwendung von APK Dateien auf den Geräten abgeraten. Folgende Probleme können auftreten:
    • Geräteintegrität geht verloren
    • Keine echte Kontrolle mehr über das Gerät
    • Kein Updatekanal
    • Kein Integritätscheck der App durch App-Store
    Sollte dennoch die Installation von APKs erforderlich sein, findet sich dazu in einem Wikiartikel zu APKs weitere Informationen.


  • Updates von Apps

    Wie werden Updates von Apps durchgeführt?
  • Antwort

    Android: Standardmäßig werden Apps automatisch aktualisiert, wenn folgende Voraussetzungen zutreffen:
    • Das Gerät ist mit einem WLAN verbunden.
    • Das Gerät wird geladen.
    • Das Gerät ist inaktiv (wird also nicht aktiv genutzt).
    • Die zu aktualisierende App wird nicht im Vordergrund ausgeführt. Bei Google Play wird normalerweise einmal täglich nach App-Updates gesucht. Daher kann es bis zu 24 Stunden dauern, bis eine App zur Update-Warteschlange hinzugefügt wird. Anschließend wird sie automatisch aktualisiert, sobald die oben genannten Voraussetzungen zutreffen.


    iOS:

    • Apps: Apps werden, wenn das Gerät im Appstore angemeldet ist täglich automatisch installiert. Wird aus dem Portal ein Installationsbefehl einer App an ein Gerät gesendet und diese App ist bereits installiert, wird umgehend ein Appupdate durchgeführt.
    • VPP Apps: VPP Apps werden jede Nacht automatisch auf Updates geprüft und unabhängig von der genutzten WWAN Verbindung der Geräte, auf die Geräte gepusht. Dies kann im Portal unter  Mobile Security Einstellungen Automatische App-Updates global deaktiviert werden.


  • Kontakt von iOS Geräten

    Was bedeutet Kontakt bei iOS Geräten?
  • Antwort

    Die eingebundenen iOS Geräte stellen standardmäßig keinen selbstständigen Kontakt mit dem Portal her. Kontakt in der Gerätekachel bezeichnet den letzten Zeitpunkt, an dem aus dem Portal ein Befehl an das Gerät gesendet wird und das Gerät den Erhalt des Befehls bestätigt hat.


  • iOS-Geräte ohne AppleID

    Können auch iOS-Geräte ohne AppleID genutzt werden?
  • Antwort

    iOs-Geräte können problemlos ohne AppleID betrieben werden. Hierzu ist die vollständige Integration des DEP & VPP erforderlich. Dies ist die von Securepoint empfohlene Betriebsart. Weitere Anleitungen hierzu finden sich in unserem Wiki.


  • iOS-Geräte antworten nicht

    Was ist zu tun bei iOS-Geräten, die nicht antworten?
  • Antwort

    • Es muss sichergestellt werden, dass die Geräte eingeschaltet und mit dem Internet verbunden sind.
    • Besteht eine Verbindung mit dem Internet stellen Sie bitte sicher, dass die Kommunikation nicht behindert oder eingeschränkt wird.
      • Ggf. einen Accesspoint von einem Smartphone verwenden
    • Apple Push Zertifikat prüfen
      • Verschlüsselt die Verbindung zwischen dem Portal und den Geräten
      • Muss jährlich verlängert werden
      • Wenn bei der Verlängerung ein neues Zertifikat eingespielt wird, statt das alte Zertifikat zu verlängern, verlieren Sie die Kommunikation zu den Geräten, welche das alte Zertifikat nutzen.
      • Vergleichen, ob das Apple Push Zertifikat im Portal und auf dem Gerät gleich sind:
        •  Mobile Security Einstellungen bei  Apple Push Zertifikat auf die Schaltfläche  Aktualisieren klicken, dort unter 2. bei Hier ist eine Liste Ihrer letzten Uploads den Zertifikaten unter UID
        • Gerät | Einstellungen | Allgemein | VPN und Geräteverwaltung | Securepoint MDM | Mehr Details | Mobile Device Management | Thema
        • Diese beiden Werte müssen identisch sein.
    • Sollten die Werte nicht identisch sein, ist ein neues Zertifikat im Portal hochgeladen, wodurch die Geräte nicht mehr erreicht werden können. Das alte Zertifikat muss verlängert und erneut eingespielt werden. Geräte, die mit dem neuen Zertifikat enrolled worden sind, müssen anschließend neu enrolled werden.
    • Sollte trotz korrektem Zertifikat die Gräte nicht erreichbar sein:
      • Ist die Kommunikation durch einen fehlerhaften VPN-Tunnel unterbrochen?
      • Blockt die Firewall die Kommunikation?
        • Hosts und Netze, die erreichbar sein müssen: 17.0.0.0/8, portal.securepoint.cloud, dns-001.securepoint.de, ios.securepoint.cloud
        • Ports, die nicht blockiert sein dürfen: 53, 80, 123, 443, 2197, 5223


  • Website in den Stats

    Warum ist nicht jeder Aufruf einer Webseite in den Statistiken vorhanden?
  • Antwort

    Für die Statistiken muss Mobile Security genutzt werden. Die Statistiken zählen Aufrufe des Proxys. Daten, welche vom Browser gecachet werden, tauchen hier nicht auf.


  • Streaming-Dienste bei VPN Sicherheitsfunktion

    Wieso funktionieren Streaming-Dienste, wie Netflix oder Amazon Prime Video, nicht, wenn die VPN Sicherheitsfunktion aktiv ist?
  • Antwort

    Streaming-Dienste verwenden in der Regel IP-basiertes Geo-Blocking, um dem Nutzungsrecht der Inhalte zu entsprechen.

    Ist VPN aktiv, ist die eigentliche IP-Adresse der Einwahl und damit die geographische Zuordnung beim Streaming-Provider nicht sichtbar.

    Daher blocken viele Streaming-Dienste auch die IPs von Rechenzentren.


  • DEP-Profile: nächste Inbetriebnahme

    Was bedeutet die Anzeige bei DEP-Profilen: Wird erst mit der nächsten Inbetriebnahme angewendet?
  • Antwort

    Die DEP-Profile bestimmen die Dialoge, welche bei der Inbetriebnahme des iOS Gerätes im Installationsassistenten angezeigt werden. Damit diese korrekt angewendet werden, muss die Zuweisung vor der ersten Initialisierung des Gerätes erfolgen.
  • AGB in der VPN App

    Warum müssen die AGB in der VPN App explizit durch den User angenommen werden?
  • Antwort

    Sowohl Apple als auch Google verlangen, dass die Nutzer über die Verwendung der Daten informiert werden bzw. die Einwilligung zur Nutzung bekunden, bevor ein VPN-Dienst genutzt werden darf.
  • Datenschutz im MDM bei Standortbestimmung

    Bestehen Datenschutzrisiken für Nutzer bei der Ortung von Geräten (Aktivierung des Lost-Modus)?
  • Antwort

    Grundsätzlich dient die Ortung von mobilen Endgeräten im konkreten Einzelfall dem Zweck der Standortbestimmung z.B. bei Verlust oder Diebstahl. Den schutzwürdigen Interessen der Nutzer wurde bereits bei der Entwicklung Rechnung getragen, um eine potenzielle heimliche Kontrolle der Nutzer z.B. durch die Erstellung eines Bewegungsprofils auszuschließen (Privacy by Design and Default).

    Es ist dabei zu unterscheiden zwischen:

    a) Vollverwaltung: Geräte sind Eigentum des Unternehmens, private Apps und Daten sind untersagt (COBO - Company owned, business only)
    • Mobile Endgeräte können grundsätzlich/ohne Ausnahme nur geortet werden, wenn die Ortung administratorseitig aktiviert wird. Bei Aktivierung wird ausschließlich der Standort zum Zeitpunkt der Ortung geloggt.
    • Nutzer erhalten dabei für jeden einzelnen Ortungsvorgang automatisch und unmittelbar eine Notification über das betroffene Gerät, sodass eine heimliche Ortung nicht möglich ist.


    b) Teilverwaltung: Geräte sind Eigentum des Unternehmens, private Apps und Daten sind erlaubt (COPE - Company owned, personal enabled)
    • Es gilt das Gleiche wie unter a) mit dem Unterschied, dass zusätzlich die Einwilligung des Endgerätenutzers auf dem Endgerät erforderlich ist, bevor administratorseitig die Ortung aktiviert werden kann.


    c) Private Endgeräte mit Apps und Daten für Arbeitszwecke (BYOD - Bring your own device)
    • Für private Endgeräte, die betrieblich genutzt werden ist keine Ortung möglich.


    Tiefergehende Details zum Lost-Modus: Abschnitt Operationen im Wiki-Artikel Geräte