Unternehmen will JAMF auf BYOD Geräten installieren

[Buster1966]

Moin zusammen,

bin maximal verunsichert. Unser Unternehmen möchte JAMF auf unseren Mac BYOD Geräten installieren. Genauer gesagt JAMF Pro. Verständlich das sie eine gewisse Security haben möchte zumal wir office 365 einsetzen.

Was ich in der Beschreibung von JAMF Pro gelesen habe verunsichert mich maximal. Es sieht so aus als wenn das Unternehmen dann die komplette Kontrolle über mein Gerät erhält, also die komplette pivacy über Bord geworfen wird. Ich möchte verständlicherweise nicht das mein Arbeitgeber sieht was ich in meiner freizeit mache.

Wenn ich einen Standarduser für die Firmensoftware/Verbindung einrichte und JAMF Pro dort installiere, ist es dann immer noch möglich das die Company auf einen anderen User zugreifen kann?

Ich habe noch bis morgen Zeit, danach wird mein Rechner abgeklemt und ich müßte wieder meinen gehassten Windows Rechner nutzen (HP Tablet)

Any help appreciated.....

 

[noodyn]

Es ist MÖGLICH, aber es ist natürlich eine Frage der eingestellten Policy, welche Dinge überwacht werden bzw. gesteuert werden können. Diese Policy sollte allen Mitarbeitern vorher bekannt gemacht werden, damit sie wissen, was der Arbeitgeber mit der Software bezweckt.

 

[tocotronaut]

Apple hat die möglichkeiten mit ios 13 stark erweitert, das System ist wenn gewollt wirklich zweigeteilt und das unternehmen erhält dann nur für den unternehmensteil komplette Kontrolle.
Fernlöschen löscht dann z.b. auch nur die Unternehmensdaten.

JAMF ist eines der mit am besten auf iOS angepassten MDM.
Was genau wie eingestellt ist sollte das unternehmen dir mitteilen.


edit: Überlesen, dass es um Macs geht...

 

[Buster1966]

Danke schonmal, leider sagen mir die ITler nicht welche Policy angewendet werden soll. Die sitzen in den USA und denken sich sicherlich ihren Teil...

Gehe ich recht in der Annahme wenn ich meinen privaten Account mit Filevault verschlüssle und einen neuen "blanken" Unser nur für die Arbeit anlege, das mein privater Teil auch beim Nutzerwechsel "unsichtbar" bleibt?
Ich möchte insbesondere nicht das, sollte ich tagsüber auch mal was privates machen unter meinem Profil, das die Company das mitbekommt.

 

[noodyn]

das mein privater Teil auch beim Nutzerwechsel "unsichtbar" bleibt?

Filevault wirkt ja auf den Datenträger und nicht auf den User. Wenn die Firma nicht mitteilt, was genau überwacht wird, würde ich die Software nicht zulassen.

 

[iQuaser]

Verständlich das sie eine gewisse Security haben möchte zumal wir office 365 einsetzen.

Ich verstehe den Zusammenhang zwischen JAMF und Office365 nicht. Bin aber lernwillig.

Wenn ich einen Standarduser für die Firmensoftware/Verbindung einrichte und JAMF Pro dort installiere, ist es dann immer noch möglich das die Company auf einen anderen User zugreifen kann?

Ich gehe davon aus, dass JAMF Admin-Rechte benötigt. Würde ich an deiner Stelle mal abklären.

Allerdings kann ein Admin-Account nicht in die Benutzerdaten reinschauen, d.h. wenn der Firmenaccount ein anderer ist als der Privataccount, dann dürften die da nichts sehen. Trotzdem hat die Firma mitzuteilen, was eingestellt wird. Ansonsten Datenschutzbeauftragten und gegebenenfalls Betriebsrat einschalten.

Nichtsdestotrotz gibst Du die Kontrolle über dein privates Gerät ab. Ich hoffe, die zahlen dir einen geldwerten Vorteil.

Ich persönlich halte BYOD für die Pest. Wenn der Arbeitgeber will, dass ich meine Arbeit erledigen kann, dann hat er mir auch die Mittel dafür zu stellen.

 

[maba_de]

Trotzdem hat die Firma mitzuteilen, was eingestellt wird. Ansonsten Datenschutzbeauftragten und gegebenenfalls Betriebsrat einschalten.

bitte was? Bei einem privaten Gerät?
Ja sicher .

Ich vermute mal (weil ich es nicht anders kenne), das private Geräte geduldet werden und der User zustimmen muss, dass das Gerät dann gemanaged wird.
Ist absolut üblich. Wer das nicht will muss halt die vom Arbeitgeber zur Verfügung gestellten Geräte nutzen.

 

[noodyn]

Ich vermute mal (weil ich es nicht anders kenne), das private Geräte geduldet werden und der User zustimmen muss, dass das Gerät dann gemanaged wird.
Ist absolut üblich. Wer das nicht will muss halt die vom Arbeitgeber zur Verfügung gestellten Geräte nutzen.

Dem ist nicht so. Dem User steht das Recht über seine Daten zu. Dementsprechend muss mindestens informiert werden, was andere mit seinen Daten machen. Wenn es die Möglichkeit von Firmengeräten gibt, wäre dies immer zu bevorzugen.

 

[iQuaser]

bitte was? Bei einem privaten Gerät?
Ja sicher .

Ich vermute mal (weil ich es nicht anders kenne), das private Geräte geduldet werden und der User zustimmen muss, dass das Gerät dann gemanaged wird.
Ist absolut üblich. Wer das nicht will muss halt die vom Arbeitgeber zur Verfügung gestellten Geräte nutzen.

Nur weil der Arbeitgeber die Nutzung privater Geräte "duldet" heißt das nicht, dass er ein Recht auf Vollkontrolle über das Gerät und deren Daten hat - insbesondere private Daten. Und wenn er das Gerät managen will muss er auch mitteilen, was er da managed. Das kann man als Mitarbeiter erwarten und verlangen.

Ansonsten stinkt er nach einer Datenkrake - ich hätte da auch keine Manschetten, als Mitarbeiter eine Meldung an den Landesdatenschutzbeauftragten zu setzen.

 

[maba_de]

Nur weil der Arbeitgeber die Nutzung privater Geräte "duldet" heißt das nicht, dass er ein Recht auf Vollkontrolle über das Gerät und deren Daten hat - insbesondere private Daten. Und wenn er das Gerät managen will muss er auch mitteilen, was er da managed. Das kann man als Mitarbeiter erwarten und verlangen.

Ansonsten stinkt er nach einer Datenkrake - ich hätte da auch keine Manschetten, als Mitarbeiter eine Meldung an den Landesdatenschutzbeauftragten zu setzen.

muss er nicht.
Der Mitarbeiter kann schlicht das Firmengerät nutzen.
Hier geht es um FIRMEN Daten, deren Kontrolle und Hoheit der Firma obliegt.
Wenn der Mitarbeiter meint, dass er nur mit einem privaten Gerät glücklich wird muss er damit leben, dass gewisse Regeln gelten, u.a. Remote Wipe.
Auch mit JANF kann man meines Wissens nach keine Daten an sich auslesen, hier werden nur Regeln wie Kennwortlänge, Verschlüsselung, Remote Wipe etc.. auf das Gerät gepusht.

 

[maba_de]

Dem ist nicht so. Dem User steht das Recht über seine Daten zu. Dementsprechend muss mindestens informiert werden, was andere mit seinen Daten machen. Wenn es die Möglichkeit von Firmengeräten gibt, wäre dies immer zu bevorzugen.

hier geht es aber nicht um private sondern um Firmendaten .
Und Jamf ermöglicht noch lange nicht das Auslesen dieser Daten.

 

[iQuaser]

Trotzdem müssen ein paar Sachen geklärt werden:

Fernlöschung: Was löschen die Admins? Nur die Firmendaten oder alles? Habe ich da ein Mitspracherecht?
Beispiel: Ich kündige, Firma löscht die Firmendaten, lässt aber vom Rest die Finger.
Beispiel: Rechner wird geklaut. Da bin ich als Mitarbeiter dankbar, wenn sie alles löschen können.

Zugriff auf Daten: Selbstverständlich darf und muss der Arbeitgeber seine Daten schützen. Trotzdem benötigt man als Angestellter eine Sicherheit, dass kein Zugriff auf private Daten erfolgen kann. Normalerweise macht man für so etwas eine Betriebsvereinbarung.

 

[maba_de]

Normalerweise macht man für so etwas eine Betriebsvereinbarung.

immerhin sind wir uns hier einig.
Bei uns heißt Remote Wipe, dass das komplette Gerät gelöscht wird. Will ich das nicht muss ich halt ein Gerät des Arbeitgebers nutzen, so einfach ist das.

 

[iQuaser]

immerhin sind wir uns hier einig.
Bei uns heißt Remote Wipe, dass das komplette Gerät gelöscht wird. Will ich das nicht muss ich halt ein Gerät des Arbeitgebers nutzen, so einfach ist das.

Das ist ganz klar kommuniziert - und damit in Ordnung. So kann man als Arbeitnehmer eine Entscheidung fällen.

Beim Thread-Ersteller fehlt mir das... Der weiss offensichtlich gar nichts. Und das geht halt nicht.

 

[maba_de]

Und das geht halt nicht.

sehe ich anders.
Er soll ein Gerät seines Arbeitgebers nutzen und fertig.
Letztendlich dienen strenge BYOD Regeln SEINEM Schutz.
Wenn Unternehmensdaten in Umlauf geraten oder noch schlimmer, der Konkurrenz zugespielt werden kann er froh sein, ein gemanagtes Gerät zu nutzen und so die Konzernstandards für Datensicherheit einzuhalten.

Nochmal, will man das nicht nimmt man ein Gerät des Arbeitgebers.

 

[iQuaser]

immerhin sind wir uns hier einig.
Bei uns heißt Remote Wipe, dass das komplette Gerät gelöscht wird. Will ich das nicht muss ich halt ein Gerät des Arbeitgebers nutzen, so einfach ist das.

Mal eine blöde Frage: Dein Rechner bekommt einen Remote Wipe (warum auch immer) und Du setzt den Rechner von einem TimeMachine-Backup neu auf.
Ist dann JAMF wieder mit drin (ich denke doch ja) und bekommt den nächsten Remote Wipe?

Muss man dann den Rechner per Hand neu aufsetzen und sollte dann nur seinen privaten Nutzerordner mit dem Migrationsassistenten holen, oder wie geht das dann?

Danke

 

[maba_de]

Mal eine blöde Frage: Dein Rechner bekommt einen Remote Wipe (warum auch immer) und Du setzt den Rechner von einem TimeMachine-Backup neu auf.
Ist dann JAMF wieder mit drin (ich denke doch ja) und bekommt den nächsten Remote Wipe?

Muss man dann den Rechner per Hand neu aufsetzen und sollte dann nur seinen privaten Nutzerordner mit dem Migrationsassistenten holen, oder wie geht das dann?

Danke

vorab - ich nutze keinen Mac mit Jamf.
Aber das Remote Whipe bedeutet ja auch, dass dieser Client gesperrt wird.
Bedeutet, eigentlich kann man nach der Wiederherstellung weder auf die Unternehmensdaten noch auf die Unternehmensanwendungen zugreifen, denn diese sind ja gekapselt und eine Anmeldung des Clients im Unternehmensnetz zur Authentifizierung scheitert.
Man müsste den Client erst wieder in die Geräteverwaltung aufnehmen, danach sollten Daten und Anwendungen und sonstige Regeln und Settings neu gepuscht werden
(davon ab liegen die Unternehmensdaten in den seltensten Fällen auf dem Client, über Jamf erhält man halt nur Zugriff auf die Unternehmensressourcen).

 

[picknicker1971]

Trotzdem müssen ein paar Sachen geklärt werden:

Fernlöschung: Was löschen die Admins? Nur die Firmendaten oder alles? Habe ich da ein Mitspracherecht?
Beispiel: Ich kündige, Firma löscht die Firmendaten, lässt aber vom Rest die Finger.
Beispiel: Rechner wird geklaut. Da bin ich als Mitarbeiter dankbar, wenn sie alles löschen können.

Zugriff auf Daten: Selbstverständlich darf und muss der Arbeitgeber seine Daten schützen. Trotzdem benötigt man als Angestellter eine Sicherheit, dass kein Zugriff auf private Daten erfolgen kann. Normalerweise macht man für so etwas eine Betriebsvereinbarung.

Normalerweise unterschreibt man dem AG man eine Einwilligung, bevor das BYOD Gerät aufgesetzt wird. Und in dieser ist/sollte auch alles geregelt (sein).
In unserer wird explizit darauf hingewiesen, dass auch private/nicht-Firmendaten keine Rücksicht genommen werden kann, das Verlust etc gemeldet werden muss und das auch sonst die gleiche Policy wie für Firmenrechner gilt.
Und es sollten die gleichen Überwachungsregeln bzw Möglichkeiten und Datenschutzbestimmungen gelten, wie für einen Firmenrechner und die sind ja klar geregelt.

BYOD bedeuted, dass man seine eigne Hardware benutzen darf, aber nicht das man Sonderechte gegenüber der Nutzung von Firmenhardware hat. Der AG hat i.d.R. genau die gleichen Befugnisse/Möglichkeiten.