Eine der wichtigsten Überlegungen für BYOD-Endbenutzer ist der Schutz der persönlichen Inhalte auf ihren in Workspace ONE UEM verwalteten Geräten. Ihre Organisation muss Mitarbeitern versichern, dass ihre persönlichen Daten nicht der Unternehmensaufsicht unterliegen.
Mit Workspace ONE UEM können Sie den Datenschutz persönlicher Daten durch die Erstellung angepasster Datenschutzrichtlinien sicherstellen, die basierend auf dem Gerätezuständigkeitstyp keine persönlichen Daten erfassen. Darüber hinaus können Sie granulare Datenschutzeinstellungen definieren, um die Erfassung personenbezogener Informationen zu deaktivieren und bestimmte Remote-Aktionen für mitarbeitereigene Geräte zu verbieten, damit der Datenschutz der Mitarbeiter gewährleistet ist.
Informieren Sie Ihre Endanwender bei der Registrierung bei Workspace ONE UEM darüber, wie ihre Daten erfasst und gespeichert werden.
Weitere Informationen darüber, wie VMware die über Workspace ONE UEM erfassten Informationen verarbeitet, z. B. zur Analyse, finden Sie in der VMware-Datenschutzrichtlinie unter https://www.vmware.com/help/privacy.html.
Wichtiger Hinweis: In den einzelnen Ländern und Rechtsprechungen gelten unterschiedliche Bestimmungen für die Erfassung der Daten von Endbenutzern. Ihre Organisation muss die geltenden Gesetze gründlich recherchieren, bevor Sie Ihre BYOD- und Datenschutzrichtlinien konfigurieren.
Der Datenschutz von Endbenutzern ist für Sie und Ihre Benutzer ein wichtiges Anliegen. Workspace ONE UEM bietet eine präzise Kontrolle darüber, welche Daten von Anwendern erfasst werden und welche dieser erfassten Daten für Administratoren sichtbar sind. Konfigurieren Sie die Datenschutzeinstellungen, um sowohl den Anforderungen Ihrer Benutzer als auch Ihren geschäftlichen Anforderungen gerecht zu werden.
Wichtiger Hinweis: Jede Rechtsprechung verfügt über eigene Regeln zur Erfassung von Endbenutzerdaten. Recherchieren Sie diese Regeln vor der Konfiguration Ihrer Datenschutzrichtlinien eingehend.
Wählen Sie die passende Einstellung für die Datenerfassung für GPS, Telekommunikation, Anwendungen, Profile und Netzwerk.
Wählen Sie die entsprechende Einstellung für die Befehle, die auf Geräten ausgeführt werden können. Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren, insbesondere eine vollständige Löschung. Diese Deaktivierung verhindert unbeabsichtigtes Löschen oder Entfernen privater Inhalte des Endbenutzers. Deaktivieren Sie die Löschfunktion für ausgewählte iOS-Besitztypen, sehen Benutzer bei der Registrierung die Berechtigung „Sämtlichen Content und sämtliche Einstellungen löschen” nicht.
Hinweis: Wenn Sie die Datenschutzeinstellungen für „remote sperren“, „herunterfahren“, „neu starten“ oder „Kennung löschen“ von verhindern () in zulassen ( oder ) ändern, müssen alle zuvor registrierten Apple-Geräte mit der neuen Datenschutzeinstellung erneut registriert werden, bevor Sie diese Remote-Aktionen auf den Apple-Geräten ausführen können.
Falls Sie den Zugriff auf Remotesteuerung, Dateimanager oder Registrierungsmanager für Android- bzw. Windows Rugged-Geräte erlauben, sollten Sie die Verwendung der Option Mit Benutzererlaubnis zulassen in Erwägung ziehen. Diese Option verlangt vom Endbenutzer per Eingabeaufforderung, dass er dem Administrator Zugang zum Gerät gewährt, bevor die Aktion ausgeführt wird. Falls Sie die Nutzung von Befehlen zulassen, sollten Sie diese Befehle ausdrücklich in den Nutzungsbedingungen erwähnen.
Datenschutzhinweise werden auf Grundlage der Organisationsgruppe und des Gerätebesitzes des verbundenen Geräts automatisch bereitgestellt. Sie können einen Datenschutzhinweis für jeden einzelnen Zuständigkeitstyp anzeigen: Benutzereigen, Unternehmen – Dediziert, Gemeinschaftsgerät und Unbekannt.
Wenn Sie einen Zuständigkeitstyp für den Empfang von Datenschutzhinweisen zuweisen, erhalten alle Benutzer in der Kategorie des ausgewählten Zuständigkeitstyps unverzüglich die Datenschutzbenachrichtigung als Web Clip. Sollten Sie den Suchwert für den Datenschutzhinweis PrivacyNotificationUrl
in Ihre Nachrichtenvorlage einfügen, dann enthält die Nachricht eine URL, wo die Benutzer den Datenschutzhinweis lesen können.
Benutzer erhalten den Datenschutzhinweis automatisch, falls:
Weitere Informationen zur Bereitstellung eines Datenschutzhinweises im Rahmen einer Geräteaktivierung finden Sie unter Registrieren eines einzelnen Geräts.
Informieren Sie Ihre Benutzer durch einen anpassbaren Datenschutzhinweis darüber, welche Daten Ihr Unternehmen von ihren registrierten Geräten erfasst. Arbeiten Sie mit Ihrer Rechtsabteilung, um festzulegen, wie die Nachricht bezüglich der Datenerfassung an Ihre Endbenutzer verfasst werden soll.
Bearbeiten Sie die Einstellungen für Nachrichtenvorlage hinzufügen/bearbeiten.
Einstellung | Beschreibung |
---|---|
Name | Geben Sie den Namen für die Nachrichtenvorlage ein. |
Beschreibung | Geben Sie eine Beschreibung für die Vorlage, die Sie erstellen, ein. |
Kategorie | Wählen Sie Registrierung. |
Typ | Wählen Sie MDM-Geräteaktivierung. |
Sprache wählen | Wählen Sie die Standardsprache für Ihre Vorlage. Verwenden Sie die Schaltfläche Hinzufügen, um weitere Standardsprachen für eine mehrsprachige Bereitstellung hinzuzufügen. |
Standard | Weisen Sie diese Vorlage als Standardnachrichtenvorlage zu. |
Nachrichtentyp | Wählen Sie einen oder mehr Nachrichtentypen: E-Mail, SMS oder Push-Nachrichten. |
Verfassen Sie den Inhalt der Benachrichtigung. Die von Ihnen im Feld Nachrichtentyp ausgewählten Nachrichtentypen bestimmen die Art der Nachrichten, die für Sie zur Konfiguration angezeigt werden.
Element | Beschreibung |
---|---|
Formatierung der E-Mail-Inhalte | Wählen Sie, ob Ihre E-Mail-Benachrichtigungen in Nur-Text- oder HTML-Format geliefert werden. |
Thema | Geben Sie die Betreffzeile Ihrer E-Mail-Benachrichtigung ein. |
Nachrichtentext | Verfassen Sie die E-Mail-Nachricht, die Sie Ihren Benutzern senden wollen. Die in diesem Textfeld angezeigten Bearbeitungs- und Formatierungstools hängen von dem Format ab, das Sie in dem Feld Formatierung von E-Mail-Inhalten gewählt haben. Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Suchwert PrivacyNotificationUrl im Nachrichtentext ein. |
SMS | |
Nachrichtentext | Verfassen Sie die SMS, die Sie Ihren Benutzern senden wollen. Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Suchwert PrivacyNotificationUrl in Ihrem Nachrichtentext mit ein. |
Push-Benachrichtigung | |
Nachrichtentext | Verfassen Sie die Push-Benachrichtigung, die Sie Ihren Benutzern senden wollen. Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Suchwert PrivacyNotificationUrl in Ihrem Nachrichtentext mit ein. |
Wählen Sie Speichern.
Den richtigen Mittelweg zwischen den Bedürfnissen Ihres Unternehmens und den Datenschutzbelangen Ihrer Mitarbeiter zu finden, kann eine Herausforderung darstellen. Um eine optimale Balance zu erzielen, gibt es einige einfache Vorgehensweisen zur Verwaltung von Datenschutzeinstellungen.
Wichtiger Hinweis: Jeder Einsatz ist anders. Passen Sie diese Einstellungen und Richtlinien so an, dass sie den Anforderungen Ihrer Organisation am besten entsprechen; wenden Sie sich hierzu an Ihre Rechts-, Personal- und Verwaltungsabteilungen.
Üblicherweise blenden Sie Benutzerinformationen, wie Vor- und Nachname, Rufnummer und E-Mail-Adresse für sowohl mitarbeiter- als auch unternehmenseigene Geräte ein.
Generell ist es angemessen, die Sammlung von Daten bei mitarbeitereigenen Geräten entweder auf Nicht erfassen oder Erfassen und nicht anzeigen zu stellen. Diese Einstellung ist wichtig, da auf einem Gerät installierte öffentliche Anwendungen, wenn eingesehen, als personenbezogene Information betrachtet werden können. Bei unternehmenseigenen Geräten erfasst Workspace ONE UEM alle auf dem Gerät installierten Anwendungen.
Ist „Nicht erfassen“ ausgewählt, werden lediglich Informationen über private Anwendungen nicht erfasst. Workspace ONE UEM erfasst alle verwalteten Anwendungen, sei es öffentliche, interne oder erworbene Anwendungen.
Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren. Wenn Sie jedoch Remoteaktionen oder -befehle zulassen, sollten Sie diese ausdrücklich in den Nutzungsbedingungen erwähnen.
Bei der Erfassung von GPS-Koordinaten können grundlegende Datenschutzprobleme bestehen. Während es unangemessen ist, GPS-Daten von mitarbeitereigenen Geräten zu erfassen, gelten die folgenden Hinweise für alle Geräte, die in Workspace ONE UEM registriert sind.
Die Erfassung von Telekommunikationsdaten von mitarbeitereigenen Geräten ist nur dann angemessen, wenn Sie an einem Stipendienprogramm mitwirken, bei dem Sie Mobilfunktarife bezuschussen. In diesem Fall oder bei unternehmenseigenen Geräten ist Folgendes hinsichtlich erfassbarer Daten zu erwägen.
Die Workspace ONE UEM-Infrastruktur erfasst und speichert viele Arten von benutzergenerierten Daten. Die folgende Matrix ordnet jeden Datentyp den Plattformen und Betriebssystemen zu, über die die Daten erfasst werden können.
Verwenden Sie diese Matrix, um zu ermitteln, welche Datenerfassung für Ihre Bereitstellung erforderlich ist. Workspace ONE UEM definiert auch optionale Daten, die Sie erfassen können, z. B. Bluetooth-MAC. Sie können diese Optionen konfigurieren und Datenschutzeinstellungen nach Besitzertyp zuweisen: Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Mitarbeitereigen.
Weitere Informationen darüber, wie VMware die über Workspace ONE UEM erfassten Informationen verarbeitet, z. B. zur Analyse, finden Sie in der VMware-Datenschutzrichtlinie unter https://www.vmware.com/help/privacy.html.
✓: kann erfasst werden
X: kann nicht erfasst werden
✓* – Kann in Workspace ONE Intelligent Hub-Bereitstellungen erfasst werden.
✓** – Kann in Workspace ONE Intelligent Hub- oder iOS 9.3+-Bereitstellungen im Überwachungsmodus erfasst werden.
Android | Apple iOS | macOS | Windows Robust | Windows Desktop | |
---|---|---|---|---|---|
Anwendungsverfolgung | |||||
Installierte interne Apps anzeigen | ✓ | ✓ | ✓ | X | ✓ |
App-Versionen anzeigen | ✓ | ✓ | ✓ | X | ✓ |
App-Status erfassen | ✓ | X | ✓ | X | ✓ |
Zertifikate | |||||
Liste der installierten Zertifikate anzeigen | ✓ | ✓ | ✓ | X | ✓* |
Anlagennachverfolgung | |||||
Gerätename | ✓ | ✓ | ✓ | ✓ | ✓ |
Geräte-UDID | ✓ | ✓ | ✓ | ✓ | ✓ |
Telefonnummer | ✓ | ✓ | X | ✓ | ✓ |
IMEI/MEID-Nummer | ✓ | ✓ | X | ✓ | ✓ |
Seriennummer des Geräts | ✓ | ✓ | ✓ | ✓ | ✓ |
IMSI-Nummer | ✓ | X | X | ✓ | ✓ |
Gerätemodell | ✓ | ✓ | ✓ | ✓ | X |
Gerätemodellname (Anzeigename) | X | ✓ | ✓ | ✓ | X |
Hersteller | ✓ | ✓ | ✓ | ✓ | ✓ |
BS-Version | ✓ | ✓ | ✓ | ✓ | ✓ |
Betriebssystem-Build | ✓ | X | ✓ | ✓ | ✓ |
Firmware-/Kernel-Version | X | X | ✓ | X | X |
Gerätefehler verfolgen | X | X | ✓ | ✓ | ✓ |
Gerätestatus | |||||
Verfügbarer Akku | ✓ | ✓ | ✓ | ✓ | ✓ |
Akkukapazität | ✓ | ✓ | ✓ | ✓ | X |
Verfügbarer RAM | ✓ | ✓ | ✓ | ✓ | X |
RAM-Kapazität | ✓ | ✓ | ✓ | ✓ | X |
Standort | |||||
GPS-Nachverfolgung | ✓ | ✓** | ✓ | ✓ | ✓ |
Bluetooth-Daten | ✓ | ✓** | ✓ | ✓ | ✓ |
USB-Daten | X | ✓** | ✓ | ✓ | ✓ |
Netzwerk | |||||
WLAN-IP-Adresse | ✓ | ✓ | ✓ | ✓ | ✓ |
WLAN-MAC-Adresse | ✓ | ✓ | ✓ | ✓ | ✓ |
WLAN-Signalstärke | X | X | ✓ | ✓ | ✓ |
Version der Betreibereinstellungen | ✓ | ✓ | X | X | X |
Mobilfunksignalstärke | ✓ | X | X | X | X |
Mobilfunktechnologie (keine, GSM, CDMA) | ✓ | ✓ | X | X | X |
Aktueller MCC | ✓ | ✓ | X | X | X |
Aktueller MNC | ✓ | ✓ | X | X | X |
SIM-Kartennummer | ✓ | ✓ | X | X | ✓ |
SIM-Betreibernetzwerk | ✓ | ✓ | X | X | X |
Abonnent-MNC | ✓ | ✓ | X | X | X |
Bluetooth-MAC | ✓ | ✓ | ✓ | X | X |
IP-Adressen anzeigen | ✓ | ✓ | ✓ | X | X |
LAN-Adapter anzeigen | X | X | ✓ | X | X |
MAC-Adresse anzeigen | ✓ | ✓ | ✓ | X | X |
Roaming | |||||
Roamingstatus ermitteln | ✓ | ✓ | X | X | X |
Push-Benachrichtigungen beim Roaming deaktivieren | X | ✓ | X | X | X |
Sprachroaming aktiviert (zulässig) | X | ✓ | X | X | X |
Datennutzung | |||||
Datennutzung über das Mobilfunknetz verfolgen | ✓ | ✓ | X | X | X |
Datennutzung über das WLAN-Netzwerk verfolgen | X | X | X | X | X |
Anrufe | |||||
Anrufverlauf verfolgen | ✓ | X | X | X | X |
Nachrichten | |||||
SMS-Verlauf verfolgen | ✓ | X | X | X | X |
Mobilfunkstatus | |||||
Aktuelles Betreibernetzwerk | ✓ | ✓ | X | X | X |
Aktueller Netzwerkstatus | ✓ | ✓ | X | X | X |
Remoteansicht | |||||
Gerät fernsteuern | ✓ | X | ✓ | ✓ | ✓ |
Bildschirmaufnahme (speichern, per Mail senden, drucken usw.) | ✓ | X | ✓ | ✓ | ✓ |
Bildschirmfreigabe (Remoteansicht in Apps) | ✓ | ✓ | X | ✓ | ✓ |
Dateimanager | |||||
Gerätedateimanager öffnen | ✓ | X | ✓ | ✓ | ✓ |
Geräteregistrierungsmanager öffnen | X | X | X | ✓ | ✓ |
Dateien kopieren | ✓ | X | ✓ | ✓ | ✓ |
Ordner erstellen | ✓ | X | ✓ | ✓ | ✓ |
Dateien vom Gerät herunterladen | ✓ | X | ✓ | ✓ | ✓ |
Dateien verschieben | ✓ | X | ✓ | ✓ | ✓ |
Ordner und Dateien umbenennen | ✓ | X | ✓ | ✓ | ✓ |
Dateien auf Gerät hochladen | ✓ | X | ✓ | ✓ | ✓ |
Aus Haftungsgründen müssen Sie die Mitarbeiter informieren, welche Daten erfasst werden und welche Aktionen auf Geräten, die in Workspace ONE UEM registriert sind, zulässig sind. Um Ihre Strategie zu kommunizieren, erstellen Sie Nutzungsbedingungen in Workspace ONE UEM.
Benutzer werden aufgefordert, die von Ihnen konfigurierten Nutzungsbedingungen zu lesen und zu akzeptieren, bevor sie MDM auf ihren persönlichen Geräten aktivieren können. Indem Sie Nutzungsbedingungen basierend auf dem Besitzertyp zuweisen, können Sie verschiedene Vereinbarungen für Unternehmens- und BYOD-Benutzer erstellen und verteilen.
Nachdem Ihre Organisation Nutzungsbedingungen formuliert hat, sollten Sie sie Endbenutzern in Form eines ein- bis zweiseitigen Whitepapers, das unnötige juristische Fachbegriffe vermeidet, zur Verfügung stellen. Bei diesem Whitepaper handelt es sich nicht um die offiziellen Nutzungsbedingungen, denen Endbenutzer zustimmen. Stattdessen dient es dazu, Ihre Unternehmensrichtlinien zu kommunizieren. Im Idealfall sehen Endbenutzer die Nutzungsbedingungen für mitarbeitereigene Geräte nicht erst, wenn sie ihr Gerät registrieren. Kommunizieren Sie vorab und eindeutig, welche Endbenutzerinformationen Sie erfassen und wie sich Ihre BYOD-Richtlinien auf sie auswirken.
Workspace ONE UEM ermöglicht es Ihnen, unterschiedliche Sicherheitsrichtlinien und Einschränkungen für mitarbeitereigene und unternehmenseigene Geräte bereitzustellen.
Mithilfe von Einschränkungsprofilen können Sie strenge Einschränkungen für dedizierte Unternehmensgeräte und lockerere Einschränkungen für mitarbeitereigene Geräte festlegen. Beispielsweise werden Einschränkungen für Apps wie YouTube oder native App Stores in der Regel nicht auf mitarbeitereigenen Geräten bereitgestellt. Stattdessen können Sie Sicherheitsprofile und Einschränkungen erstellen, die den Grad der Gerätesicherheit erhöhen, ohne dass sich dies negativ auf die Funktionalität auswirkt.
Workspace ONE UEM stellt für jedes Gerät und jede Plattform die folgenden Einschränkungen zur Verfügung:
Jede Plattform verfügt über eigene, durchsetzbare Einschränkungen. Bewerten Sie diese Einschränkungen einzeln, um deren Wert für Ihre Bereitstellung zu ermitteln. Einige, wie z. B. iOS-Einschränkungen, die auf überwachte Geräte beschränkt sind, gelten nicht, da mitarbeitereigene Geräte nicht mit dem Apple Configurator registriert werden können.
Weitere Informationen zum Erstellen von Sicherheitsprofilen und Einschränkungen finden Sie unter Hinzufügen einer Konformitätsrichtlinie.
Ein wichtiger Aspekt Ihrer BYOD-Bereitstellung ist die Entfernung von Unternehmensinhalten, wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht oder gestohlen wird. Workspace ONE UEM ermöglicht Ihnen, „Unternehmensdaten löschen“ auf Geräten auszuführen, um alle Unternehmensinhalte und Zugriffsmöglichkeiten zu entfernen, die persönlichen Dateien und Einstellungen jedoch unangetastet zu lassen.
Während „Gerät zurücksetzen“ ein Gerät in seinen ursprünglichen Werkszustand zurückversetzt, können Sie mit Workspace ONE UEM entscheiden, wie weit „Unternehmensdaten löschen“ auf öffentliche und gekaufte VPP-Anwendungen, die sich in einem Graubereich zwischen unternehmens- und mitarbeitereigenen Geräten befinden, angewendet werden soll. Durch „Unternehmensdaten löschen“ wird zudem das Gerät bei Workspace ONE UEM abgemeldet und es werden alle Inhalte entfernt, die über MDM aktiviert wurden. Zu diesen Inhalten zählen E-Mail-Konten, VPN-Einstellungen, WLAN-Profile, sichere Inhalte und Unternehmensanwendungen.
Wenn Sie Apple Volume Purchase Plan-Einlösungscodes für Geräte mit iOS 6 und früheren Versionen verwendet haben, können Sie bereits eingelöste Lizenzen für diese Anwendung nicht zurückfordern. Wenn die Anwendung installiert ist, ist sie dem App-Store-Konto des Benutzers zugeordnet. Diese Zuordnung kann nicht rückgängig gemacht werden. Allerdings können Sie Lizenzcodes einlösen, die für iOS 7 und höher verwendet wurden.
Gerät zurücksetzen – Senden Sie einen MDM-Befehl, um alle Daten und das Betriebssystem von einem Gerät zu entfernen. Diese Aktion kann nicht rückgängig gemacht werden.
Unternehmensdaten löschen – Heben Sie die Registrierung eines Geräts auf und entfernen Sie alle verwalteten Unternehmensressourcen, einschließlich Anwendungen und Profile. Diese Aktion kann nicht rückgängig gemacht werden. Zur Verwaltung dieses Geräts durch Workspace ONE UEM ist eine erneute Registrierung erforderlich. Diese Geräteaktion beinhaltet Optionen zur Vermeidung einer zukünftigen erneuten Registrierung und das Textfeld Notizbeschreibung, in das Sie Informationen über die Aktion hinzufügen können.
„Unternehmensdaten löschen“ hebt die Registrierung des Geräts in Workspace ONE UEM auf und entfernt alle Unternehmensinhalte, einschließlich E-Mail-Konten, VPN-Einstellungen, Profilen und Anwendungen.
Aus Sicherheits- und Datenschutzgründen können Sie die Möglichkeit, eine Gerätelöschung auf einem BYOD-Gerät durchzuführen, deaktivieren.
Wenn Sie die Funktion „Gerätelöschung“ für ausgewählte iOS-Zuständigkeitstypen deaktivieren, wird auf Geräten dieses Zuständigkeitstyps während der Profilinstallation die Berechtigung „Alle Inhalte und Einstellungen löschen“ nicht angezeigt.