Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „corporate owned devices“ (COD) und benutzereigenen Geräten, sogenannten „bring your own devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebs-systeme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution im Einzelnen beschrieben.
Unterscheidung managed / unmanaged
Seit iOS12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:
Managed Devices | Unmanaged Devices | |
---|---|---|
Apps | von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar | vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar |
Mail Accounts | von Relution über eine Richtlinie konfiguriert | vom Benutzer selbst auf dem Gerät konfiguriert |
Kontakte | vom managed Mail Account auf das Gerät geladen (synchronisiert) | vom Benutzer selbst angelegt |
Dokumente | vom managed Mail Account auf das Gerät geladen (synchronisiert) | vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen |
Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.
Die Trennung der Daten erfolgt in iOS systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:
Damit lässt sich beispielsweise verhindern, dass:
Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:
Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:
Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).
Bis iOS 12 war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.
Zwischenzeitlich bietet iOS jedoch eine eingebaute „Container-Lösung“ um geschäftliche von privaten Anwendungen und Daten zu trennen. Hierzu wird ein iOS Gerät in Relution über eine (BYOD) Einschreibung im Inventar aufgenommen. Dadurch wird auf dem Gerät ein MDM-Profil installiert wodurch eine Verwaltung über Relution ermöglicht wird. Technisch wird dann zwischen „verwalteten“ und „nicht verwalteten“ Apps und Inhalten unterschieden. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät und die Daten werden komplett separiert. Mittels Restriktionen lässt sich zusätzlich steuern ob Daten zwischen „verwalteten“ und „nicht verwalteten“ Apps geteilt werden dürfen.
Auf den Geräten können verschiedene Konfigurationen eingespielt und über Relution verwaltet werden:
Wird das MDM-Profil entfernt, werden alle verwalteten Apps und Inhalte gelöscht. Diese Aktion kann per Relution oder am Gerät selbst erfolgen.
Ab Android 9: Android Enterprise Enrollment (vollständige Geräteverwaltung)
Spätestens seit Relution 5 ist bei der Verwaltung von Android-Geräten in Relution verstärkt die Android Enterprise Einschreibung als vollständig verwaltetes Gerät (Device Owner) gebräuchlich. Die MDM-Funktionen sind dabei im Betriebssystem integriert und standardisiert. Dies ermöglicht eine weitgehend herstellerunabhängige, einheitliche MDM-Funktionalität auf der Android-Plattform. Die Android Enterprise Funktionen stehen ausschließlich für zertifizierte Geräte zur Verfügung. Samsung-Geräte können mittels der KNOX-Funktionen noch umfangreicher administriert und abgesichert werden. Die Relution Client App wird bei der Android Enterprise Einschreibung nicht mehr zwingend benötigt. Zusätzlich steht weiterhin die klassische Einschreibung als „Device Administrator“ zur Verfügung. Dabei erhält die Relution Client App besondere Rechte auf dem Gerät, damit sie die MDM-Funktionen ausführen darf. Bei dieser Art der Einschreibung sind die Möglichkeiten des MDM-Eingriffs jedoch stark vom verwendeten Android-Gerät abhängig. Bei der Verwaltung von Android-Geräten stehen vielfältige Konfigurationen und Funktionen zur Verfügung:
Android Enterprise bietet zusätzlich das sogenannte „Arbeitsprofil“ an, das für private Geräte gedacht ist und einen Container („Arbeit“) auf dem Gerät einrichtet, der von Relution verwaltet werden kann. In diesem Container findet sich ein „Managed Play Store“, der lediglich freigegebene Apps zur Installation bereitstellt. Die Installation der Apps aus dem „Managed Google Play Store“ ist ohne einen lokalen Google-Account möglich. Zusätzlich können die Apps über Relution konfiguriert werden sofern eine „Managed App Configruation“ von der jeweiligen App unterstützt wird (z.B. eine E-Mail-App mit vorgegebener Server-Adresse und Benutzerkennung). Der Container kann auch ein eigenes Adressbuch zur Trennung von geschäftlichen und privaten Kontakten enthalten.
Alles außerhalb des Containers („Persönlich“) kann Relution nicht beeinflussen, es kann also beispielsweise das Gerät nicht zurückgesetzt oder gesperrt werden. Der Container kann aber über Relution entfernt werden, womit dann alle darin vorhandenen Daten gelöscht werden.
Relution unterstützt das Arbeitsprofil in einer Organisation parallel zur vollständigen Geräteverwaltung von Android Enterprise und der klassischen Einschreibung als System Administrator. In Relution ist somit ein Mischbetrieb mit unterschiedlichen Geräten möglich.
Ferner können im Container "Arbeit" folgende Funktionen per Restriktion ebenfalls abgeschaltet werden:
Android und iOS bieten in den aktuellen Versionen umfassende Möglichkeiten zur sicheren Verwendung inklusive Trennung von geschäftlichen und privaten Daten. Diese Möglichkeiten werden mit jeder neuen Betriebssystem-Version weiter ausgebaut. Vor diesem Hintergrund hat der klassische, app-basierte Container ausgedient, da er keine so strikte Trennung auf Systemebene erlaubt (z.B. kein eigenes Dateisystem) und sowohl auf der Kostenseite als auch aus Usability-Sicht klare Nachteile gegenüber der betriebssystemseitigen Trennung der Daten hat.
Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.