Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „corporate owned devices“ (COD) und benutzereigenen Geräten, sogenannten „bring your own devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebs-systeme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution im Einzelnen beschrieben.
Unterscheidung managed / unmanaged
Seit iOS12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:
Managed Devices | Unmanaged Devices | |
---|---|---|
Apps | von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar | vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar |
Mail Accounts | von Relution über eine Richtlinie konfiguriert | vom Benutzer selbst auf dem Gerät konfiguriert |
Kontakte | vom managed Mail Account auf das Gerät geladen (synchronisiert) | vom Benutzer selbst angelegt |
Dokumente | vom managed Mail Account auf das Gerät geladen (synchronisiert) | vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen |
Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.
Die Trennung der Daten erfolgt in iOS systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:
Damit lässt sich beispielsweise verhindern, dass:
Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:
Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:
Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).
Bisher war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.
Seit iOS13 bietet iOS jedoch einen eingebauten Container für geschäftliche Anwendungen und Daten, der über das „User Enrollment“ über Relution auf das Gerät gebracht wird. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät, d.h. der Container-Bereich und der Rest des Geräts werden komplett separiert. Technisch wird diese Trennung sogar auf Dateisystem-Ebene vollzogen, d.h. es gibt für den Container ein eigenes APFS-Volume mit eigener Verschlüsselung.
In diesem Volume können verschiedene Komponenten liegen, die unabhängig vom übrigen iOS per Relution verwaltet werden:
Wird der Container entfernt (kann per Relution oder am Gerät selbst erfolgen), wird das gesamte Volume gelöscht.
Bis Android 10: System Administrator Enrollment
Bisher ist bei der Verwaltung von Android-Geräten in Relution hauptsächlich das klassische Enrollment als „System Administrator“ gebräuchlich. Das bedeutet, dass die Relution Client App besondere Rechte auf dem Gerät bekommt, damit sie die MDM-Funktionen ausführen darf. Bei dieser Art des Enrollments sind die Möglichkeiten des MDM-Eingriffs stark vom verwendeten Android-Gerät abhängig. Die meisten Funktionen bietet hier Samsung mit seiner KNOX-Schnittstelle; die Geräte aller anderen Android-Hersteller sind nur sehr rudimentär per MDM zu konfigurieren. Beispielsweise bietet nur Samsung folgende Möglichkeiten an:
Mit Android Enterprise hat Google einen eigenen MDM-Stack veröffentlicht, der die Implementierung der MDM-Funktionen im Gegensatz zum Enrollment als System Administrator nicht mehr der Client App überlässt, sondern diese im Betriebssystem zur Verfügung stellt. Dies ermöglicht erstmalig eine weitgehend herstellerunabhängige, einheitliche MDM-Funktionalität auf der Android-Plattform. Der Full Device Mode wird mittelfristig das System Administrator Enrollment ablösen. Android 10 ist die erste Android-Version, bei der der Full Device Mode die von Google bevorzugte Art des Enrollments sein wird.
Android Enterprise bietet das sogenannten „Work Profile Enrollment“ an, das für mitarbeitereigene Geräte gedacht ist und einen Container („Arbeit“) auf dem Gerät einrichtet, der von Relution gemanaged werden kann. In diesem Container findet sich ein „Managed Play Store“, also ein unternehmenseigener App Store, der es ermöglicht, Apps aus dem Google Play Store ohne Vorhandensein eines lokalen Google-Accounts in den Container zu pushen und diese auch über Relution zu konfigurieren (z.B. einen Mail-Client mit vorgegebener Server-Adresse und Benutzerkennung). Der Container kann auch ein eigenes Adressbuch zur Trennung von geschäftlichen und privaten Kontakten enthalten.
Alles außerhalb des Containers („Persönlich“) kann Relution nicht beeinflussen, es kann also beispielsweise das Gerät nicht zurückgesetzt oder gesperrt werden. Der Container kann aber über Relution entfernt werden, womit dann alle darin vorhandene Daten gelöscht werden.
Relution unterstützt das Work Profile Enrollment parallel zum System Administrator Enrollment, man kann die beiden also kombinieren.
Ferner können im Container "Arbeit" folgende Funktionen per Restriktion ebenfalls abgeschaltet werden:
Android und iOS bieten in den aktuellen Versionen umfassende Möglichkeiten zur sicheren Verwendung inklusive Trennung von geschäftlichen und privaten Daten. Diese Möglichkeiten werden mit jeder neuen Betriebssystem-Version weiter ausgebaut. Vor diesem Hintergrund hat der klassische, app-basierte Container ausgedient, da er keine so strikte Trennung auf Systemebene erlaubt (z.B. kein eigenes Dateisystem) und sowohl auf der Kostenseite als auch aus Usability-Sicht klare Nachteile gegenüber der betriebssystemseitigen Trennung der Daten hat.
Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.