Eine der wichtigsten Überlegungen für BYOD-Endbenutzer ist der Schutz der persönlichen Inhalte auf ihren in Workspace ONE UEM verwalteten Geräten. Ihre Organisation muss Mitarbeitern versichern, dass ihre persönlichen Daten nicht der Unternehmensaufsicht unterliegen.

Mit Workspace ONE UEM können Sie den Datenschutz persönlicher Daten durch die Erstellung angepasster Datenschutzrichtlinien sicherstellen, die basierend auf dem Gerätezuständigkeitstyp keine persönlichen Daten erfassen. Darüber hinaus können Sie granulare Datenschutzeinstellungen definieren, um die Erfassung personenbezogener Informationen zu deaktivieren und bestimmte Remote-Aktionen für mitarbeitereigene Geräte zu verbieten, um den Datenschutz der Mitarbeiter zu gewährleisten.

Informieren Sie Ihre Endanwender bei der Registrierung bei Workspace ONE UEM darüber, wie ihre Daten erfasst und gespeichert werden.

Weitere Informationen darüber, wie VMware die über Workspace ONE UEM erfassten Informationen verarbeitet, z. B. zur Analyse, finden Sie in der VMware-Datenschutzrichtlinie unter https://www.vmware.com/help/privacy.html.

Wichtiger Hinweis: In den einzelnen Ländern und Rechtsprechungen gelten unterschiedliche Bestimmungen für die Erfassung der Daten von Endbenutzern. Ihre Organisation muss die geltenden Gesetze gründlich recherchieren, bevor Sie Ihre BYOD- und Datenschutzrichtlinien konfigurieren.

Konfigurieren von Datenschutzeinstellungen

Der Datenschutz von Endbenutzern ist für Sie und Ihre Benutzer ein wichtiges Anliegen. Workspace ONE UEM bietet eine präzise Kontrolle darüber, welche Daten von Anwendern erfasst werden und welche dieser erfassten Daten für Administratoren sichtbar sind. Konfigurieren Sie die Datenschutzeinstellungen, um sowohl den Anforderungen Ihrer Benutzer als auch Ihren geschäftlichen Anforderungen gerecht zu werden.

  • Prüfen und passen Sie Datenschutzrichtlinien je nach Gerätezuständigkeit an, wobei Sie sich an Datenschutzgesetze anderer Länder oder gesetzlich festgelegte Richtlinien halten können.
  • Stellen Sie sicher, dass bestimmte IT-Kontrollmechanismen bestehen, um ein Überladen der Server und Systeme zu verhindern.

Wichtiger Hinweis: Jede Rechtsprechung verfügt über eigene Regeln zur Erfassung von Endbenutzerdaten. Recherchieren Sie diese Regeln vor der Konfiguration Ihrer Datenschutzrichtlinien eingehend.

  1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Datenschutz.

  2. Wählen Sie die passende Einstellung für die Datenerfassung für GPS**, Telekommunikation, Anwendungen, Profile** und Netzwerk.********

    Dieses Symbol ist ein vollständiger, runder grauer Kreis mit einem runden Umriss.- Erfassen und anzeigen – Benutzerdaten werden in der UEM-Konsole erfasst und angezeigt.
    Dieses Symbol ist ein grauer Halbkreis mit einem runden Umriss.- Erfassen, aber nicht anzeigen – Benutzerdaten werden zu Berichtszwecken erfasst, jedoch nicht in der UEM-Konsole angezeigt.
    Dieses Symbol ist ein leerer grauer Umriss.- Nicht erfassen – Benutzerdaten werden nicht erfasst und daher nicht angezeigt.

  3. Wählen Sie die entsprechende Einstellung für die Befehle, die auf Geräten ausgeführt werden können. Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren, insbesondere eine vollständige Gerätezurücksetzung auf die Werkseinstellungen. Diese Deaktivierung verhindert, dass die privaten Inhalte eines Endbenutzers versehentlich gelöscht werden. Wenn Sie die Wipe-Funktion für ausgewählte iOS-Besitztypen deaktivieren, wird Benutzern während der Registrierung nicht die Berechtigung zum Löschen sämtlicher Inhalte und Einstellungen angezeigt.

    Dieses Symbol ist ein vollständiger, runder grauer Kreis mit einem runden Umriss.- Zulassen – Der Befehl wird auf Geräten ohne Zustimmung des Benutzers ausgeführt.
    Dieses Symbol ist ein grauer Halbkreis mit einem runden Umriss.- Mit Benutzererlaubnis zulassen – Der Befehl wird nur mit Zustimmung des Benutzers auf dem Gerät ausgeführt.
    Dieses Symbol ist ein leerer grauer Umriss.- Verhindern – Der Befehl wird nicht auf dem Gerät ausgeführt.

  4. Falls Sie den Zugriff auf Remotesteuerung, Dateimanager oder Registrierungsmanager für Android- bzw. Windows Rugged-Geräte erlauben, sollten Sie die Verwendung der Option Mit Benutzererlaubnis zulassen in Erwägung ziehen. Diese Option verlangt vom Endbenutzer per Eingabeaufforderung, dass er dem Administrator Zugang zum Gerät gewährt, bevor die Aktion ausgeführt wird. Falls Sie die Nutzung von Befehlen zulassen, sollten Sie diese Befehle ausdrücklich in den Nutzungsbedingungen erwähnen.

  5. Für Benutzerinformationen wählen Sie in der Konsole Anzeigen oder Nicht anzeigen für die Angaben Vorname, Nachname, Rufnummer, E-Mail-Konten und Benutzername.

  6. Sollte eine andere Option als Benutzername auf Nicht anzeigen gestellt sein, werden diese Daten in der UEM-Konsole als „Privat“ angezeigt. Optionen, die auf Nicht anzeigen gestellt sind, können in der Konsole nicht gesucht werden. Ein Benutzername, der auf Nicht anzeigen gesetzt wurde, wird nur auf den Seiten „Gerätelistenansicht“ und „Gerätedetails“ als „Privat“ angezeigt. Alle anderen Seiten der UEM-Konsole zeigen den Benutzernamen des registrierten Benutzers an.

  7. Sie können personenbezogene Informationen verschlüsseln, einschließlich Vorname, Nachname, E-Mail-Adresse und Rufnummer. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Sicherheit > Datensicherheit von der globalen Organisationsgruppe oder Organisationsgruppe der Kundenebene, für die Sie die Verschlüsselung konfigurieren möchten. Durch Aktivierung der Verschlüsselung, Auswahl der zu verschlüsselnden Benutzerdaten und anschließendes Klicken auf Speichern werden die Benutzerdaten verschlüsselt. Dadurch werden einige Funktionen in der UEM-Konsole eingeschränkt, wie Suchen, Sortieren und Filtern.

  8. Wählen Sie, ob Sie den Modus Nicht stören auf dem Gerät auf Aktivieren oder Deaktivieren festlegen möchten. Diese Einstellung erlaubt es Benutzergeräten, MDM-Befehle für einen vorgegebenen Zeitraum zu ignorieren. Bei aktiviertem Modus können Sie eine Toleranzperiode oder Aktivierungszeit in Minuten, Stunden oder Tagen festlegen, nach denen der Modus Nicht stören abläuft.

  9. Wählen Sie, ob Sie die Option Benutzerfreundlicher Datenschutzhinweis auf dem Gerät auf Aktivieren oder Deaktivieren festlegen möchten.

  10. Wenn diese Einstellung Aktiviert ist, können Sie für jede Zuständigkeitsebene entweder Ja (Datenschutzhinweis anzeigen) oder Nein (keinen Datenschutzhinweis anzeigen) wählen: Benutzereigen, Unternehmen – Dediziert, Gemeinschaftsgerät und Unbekannt.

  11. Klicken Sie auf Speichern. Die Datenschutzeinstellungen sind eine eingeschränkte Aktion, sodass Sie Ihre vierstellige Konsolen-PIN eingeben müssen, um fortzufahren.

Bereitstellung des Datenschutzhinweises

Datenschutzhinweise werden auf Grundlage der Organisationsgruppe und des Gerätebesitzes des verbundenen Geräts automatisch bereitgestellt. Möglicherweise möchten Sie einen Datenschutzhinweis für jeden einzelnen Zuständigkeitstyp anzeigen. Benutzereigen, Unternehmen – Dediziert, Gemeinschaftsgerät und Unbekannt.

Wenn Sie einen Zuständigkeitstyp für den Empfang von Datenschutzhinweisen zuweisen, erhalten alle Benutzer in der Kategorie des ausgewählten Zuständigkeitstyps unverzüglich die Datenschutzbenachrichtigung als Web Clip. Sollten Sie den Nachschlagewert für den Datenschutzhinweis PrivacyNotificationUrl in Ihre Nachrichtenvorlage einfügen, dann enthält die Nachricht eine URL, wo die Benutzer den Datenschutzhinweis lesen können.

Benutzer erhalten den Datenschutzhinweis automatisch, falls:

  • sie ein neues Gerät registrieren und zu einem Zuständigkeitstyp gehören, für den der Datenschutzhinweis aktiviert ist.
  • sie zurzeit ein registriertes Gerät verwenden und die Zuständigkeit nach der Registrierung in einen Typ geändert wird, dem der Web Clip zugewiesen wird.

Weitere Informationen zur Bereitstellung eines Datenschutzhinweises im Rahmen einer Geräteaktivierung finden Sie unter Registrieren eines einzelnen Geräts.

Erstellen eines Datenschutzhinweises für BYOD-Benutzer

Informieren Sie Ihre Benutzer durch einen anpassbaren Datenschutzhinweis darüber, welche Daten Ihr Unternehmen von ihren registrierten Geräten erfasst. Arbeiten Sie mit Ihrer Rechtsabteilung, um festzulegen, wie die Nachricht bezüglich der Datenerfassung an Ihre Endbenutzer verfasst werden soll.

  1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Nachrichtenvorlagen.

  2. Wählen Sie Hinzufügen, um eine Vorlage zu erstellen. Sollten Sie bereits eine Vorlage für einen Datenschutzhinweis erstellt haben, wählen Sie diese von der Liste der verfügbaren Vorlagen zur Verwendung oder Bearbeitung.

  3. Bearbeiten Sie die Einstellungen für Nachrichtenvorlage hinzufügen/bearbeiten.

    Einstellung Beschreibung
    Name Geben Sie den Namen für die Nachrichtenvorlage ein.
    Beschreibung Geben Sie eine Beschreibung für die Vorlage, die Sie erstellen, ein.
    Kategorie Wählen Sie Registrierung.
    Typ Wählen Sie MDM-Geräteaktivierung.
    Sprache wählen Wählen Sie die Standardsprache für Ihre Vorlage. Verwenden Sie die Schaltfläche Hinzufügen, um weitere Standardsprachen für eine mehrsprachige Bereitstellung hinzuzufügen.
    Standard Weist diese Vorlage als Standardnachrichtenvorlage zu.
    Nachrichtentyp Wählen Sie einen oder mehr Nachrichtentypen: E-Mail, SMS oder Push-Nachrichten.
  4. Verfassen Sie den Inhalt der Benachrichtigung. Die von Ihnen im Feld Nachrichtentyp ausgewählten Nachrichtentypen bestimmen die Art der Nachrichten, die für Sie zur Konfiguration angezeigt werden.

    Element Beschreibung
    E-Mail
    Formatierung der E-Mail-Inhalte Wählen Sie, ob Ihre E-Mail-Benachrichtigungen in Nur-Text- oder HTML-Format geliefert werden.
    Thema Geben Sie die Betreffzeile Ihrer E-Mail-Benachrichtigung ein.
    Nachrichtentext Verfassen Sie die E-Mail-Nachricht, die Sie Ihren Benutzern senden wollen. Die in diesem Textfeld angezeigten Bearbeitungs- und Formatierungstools hängen von dem Format ab, das Sie in dem Feld Formatierung von E-Mail-Inhalten gewählt haben. Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Nachschlagewert PrivacyNotificationUrl im Nachrichtentext ein.
    SMS
    Nachrichtentext Verfassen Sie die SMS, die Sie Ihren Benutzern senden wollen. Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Nachschlagewert PrivacyNotificationUrl im Nachrichtentext ein.
    Push-Benachrichtigung
    Nachrichtentext Verfassen Sie die Push-Benachrichtigung, die Sie Ihren Benutzern senden wollen. Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Nachschlagewert PrivacyNotificationUrl im Nachrichtentext ein.
  5. Wählen Sie Speichern.

Datenschutz – bewährte Methoden

Den richtigen Mittelweg zwischen den Bedürfnissen Ihres Unternehmens und den Datenschutzbelangen Ihrer Mitarbeiter zu finden, kann eine Herausforderung darstellen. Um eine optimale Balance zu erzielen, gibt es einige einfache Vorgehensweisen zur Verwaltung von Datenschutzeinstellungen.

Wichtiger Hinweis: Jeder Einsatz ist anders. Passen Sie diese Einstellungen und Richtlinien so an, dass sie den Anforderungen Ihrer Organisation am besten entsprechen; wenden Sie sich hierzu an Ihre Rechts-, Personal- und Verwaltungsabteilungen.

Benutzerinformationen – Best Practices für den Datenschutz

Üblicherweise blenden Sie Benutzerinformationen, wie Vor- und Nachname, Rufnummer und E-Mail-Adresse für sowohl mitarbeiter- als auch unternehmenseigene Geräte ein.

Anwendungsinformationen – Best Practices für den Datenschutz

Generell ist es angemessen, die Sammlung von Daten bei mitarbeitereigenen Geräten entweder auf Nicht erfassen oder Erfassen und nicht anzeigen zu stellen. Diese Einstellung ist wichtig, da auf einem Gerät installierte öffentliche Anwendungen, wenn eingesehen, als personenbezogene Information betrachtet werden können. Bei unternehmenseigenen Geräten erfasst Workspace ONE UEM alle auf dem Gerät installierten Anwendungen.

Ist „Nicht erfassen“ ausgewählt, werden lediglich Informationen über private Anwendungen nicht erfasst. Workspace ONE UEM erfasst alle verwalteten Anwendungen, sei es öffentliche, interne oder erworbene Anwendungen.

Remotebefehle – Best Practices für den Datenschutz

Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren. Wenn Sie jedoch Remoteaktionen oder -befehle zulassen, sollten Sie diese ausdrücklich in den Nutzungsbedingungen erwähnen.

GPS-Koordinatenerfassung für bewährte Datenschutzmethoden

Bei der Erfassung von GPS-Koordinaten können grundlegende Datenschutzprobleme bestehen. Während es unangemessen ist, GPS-Daten von mitarbeitereigenen Geräten zu erfassen, gelten die folgenden Hinweise für alle Geräte, die in Workspace ONE UEM registriert sind.

  • Nur der VMware Workspace ONE Intelligent Hub übermittelt GPS-Standortdaten von Geräten zurück an die UEM-Konsole.
    • Andere Anwendungen, die den Workspace ONE-SDK verwenden, wie VMware Browser, Content, Boxer usw., übermitteln keine GPS-Daten zurück an die UEM-Konsole.
    • GPS-Standortdienste werden in der Regel dazu verwendet, um verloren gegangene oder gestohlene Geräte zu lokalisieren. GPS wird auch dann verwendet, wenn Standortdaten ein essentieller Bestandteil der jeweiligen Funktion der Workspace ONE UEM-Konsole sind, beispielsweise Geofencing.
    • Wenn GPS-Daten gemeldet werden, definiert Workspace ONE UEM einen Bereich im Umkreis von 1 Kilometer dieses Standorts. Anschließend werden Standortinformationen gemeldet, wann immer sich das Gerät außerhalb der Region bewegt.

Telekommunikationsdaten – Best Practices zum Datenschutz

Die Erfassung von Telekommunikationsdaten von mitarbeitereigenen Geräten ist nur dann angemessen, wenn Sie an einem Stipendienprogramm mitwirken, bei dem Sie Mobilfunktarife bezuschussen. In diesem Fall oder bei unternehmenseigenen Geräten ist Folgendes hinsichtlich erfassbarer Daten zu erwägen.

  • Betreiber/Ländercode – Betreiber und Ländercode werden erfasst und können zur Telekommunikationsnachverfolgung verwendet werden. Telekommunikationstarifpläne können basierend auf Betreiber und Land erstellt und die Geräte dem entsprechenden Plan zugewiesen werden. Diese Daten können auch verwendet werden, um Geräte je nach Betreiber und Land oder nach aktuellem Land und aktuellem Betreiber nachzuverfolgen.
  • Roamingstatus – Dieser Status kann verwendet werden, um nachzuverfolgen, welche Geräte sich im Roamingbetrieb befinden. Konformitätsrichtlinien können eingerichtet werden, um die Sprach- und Datennutzung zu deaktivieren, wenn sich das Gerät im Roamingbetrieb befindet, oder um bei der Anwendung anderer Konformitätsaktionen behilflich zu sein. Wenn darüber hinaus ein Gerät einem Telekommunikationstarifplan zugewiesen ist, kann Workspace ONE UEM die Datennutzung im Roamingbetrieb nachverfolgen. Das Erfassen und Überwachen des Roamingstatus kann hilfreich sein, wenn es darum geht, hohe Betreiberkosten aufgrund von Roaming zu verhindern.
  • Mobilfunkdatennutzung – Die Datennutzung hinsichtlich der Gesamtanzahl der gesendeten und empfangenen Bytes. Diese Daten können für jedes Mobilfunkgerät erfasst werden. Wenn ein Gerät einem Telekommunikationstarifplan zugewiesen ist, können Sie die Datennutzung basierend auf dem Prozentsatz der gesamten Datenmenge pro Abrechnungszeitraum überwachen. Durch diese Funktion können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Daten erstellen. Dies kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu vermeiden.
  • Mobilfunknutzung – Die Sprachminuten, die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei der Datennutzung können Sie die Nutzung basierend auf dem Prozentsatz der Minuten pro Abrechnungszeitraum überwachen, sofern das Gerät einem Tarifplan zugewiesen ist. Durch diese Methode können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Minuten erstellen. Dies kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu vermeiden.
  • SMS-Nutzung – Die SMS-Daten (Short Message Service), die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei der Datennutzung können Sie die SMS-Nutzung basierend auf dem Prozentsatz der Nachrichten pro Abrechnungszeitraum überwachen, sofern das Gerät einem Telekommunikationstarifplan zugewiesen ist. Dadurch können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Nachrichten erstellen. Die Überwachung der SMS-Nutzung kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu verhindern.

Benutzerdatenerfassung von BYOD-Endbenutzern

Die Workspace ONE UEM-Infrastruktur erfasst und speichert viele Arten von benutzergenerierten Daten. Die folgende Matrix ordnet jeden Datentyp den Plattformen und Betriebssystemen zu, über die die Daten erfasst werden können.

Verwenden Sie diese Matrix, um zu ermitteln, welche Datenerfassung für Ihre Bereitstellung erforderlich ist. Workspace ONE UEM definiert auch optionale Daten, die Sie erfassen können, z. B. Bluetooth-MAC. Sie können diese Optionen konfigurieren und Datenschutzeinstellungen nach Besitzertyp zuweisen: Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Mitarbeitereigen.

Weitere Informationen darüber, wie VMware die über Workspace ONE UEM erfassten Informationen verarbeitet, z. B. zur Analyse, finden Sie in der VMware-Datenschutzrichtlinie unter https://www.vmware.com/help/privacy.html.

✓: kann erfasst werden

X: kann nicht erfasst werden

✓* – Kann in Workspace ONE Intelligent Hub-Bereitstellungen erfasst werden.

✓** – Kann in Workspace ONE Intelligent Hub- oder iOS 9.3+-Bereitstellungen im Überwachungsmodus erfasst werden.

Android Apple iOS macOS Windows Robust Windows Desktop
Anwendungsverfolgung
Installierte interne Apps anzeigen X
App-Versionen anzeigen X
App-Status erfassen X X
Zertifikate
Liste der installierten Zertifikate anzeigen X ✓*
Anlagennachverfolgung
Gerätename
Geräte-UDID
Telefonnummer X
IMEI/MEID-Nummer X
Seriennummer des Geräts
IMSI-Nummer X X
Gerätemodell X
Gerätemodellname (Anzeigename) X X
Hersteller
BS-Version
Betriebssystem-Build X
Firmware-/Kernel-Version X X X X
Gerätefehler verfolgen X X
Gerätestatus
Verfügbarer Akku
Akkukapazität X
Verfügbarer RAM X
RAM-Kapazität X
Standort
GPS-Nachverfolgung ✓**
Bluetooth-Daten ✓**
USB-Daten X ✓**
Netzwerk
WLAN-IP-Adresse
WLAN-MAC-Adresse
WLAN-Signalstärke X X
Version der Betreibereinstellungen X X X
Mobilfunksignalstärke X X X X
Mobilfunktechnologie (keine, GSM, CDMA) X X X
Aktueller MCC X X X
Aktueller MNC X X X
SIM-Kartennummer X X
SIM-Betreibernetzwerk X X X
Abonnent-MNC X X X
Bluetooth-MAC X X
IP-Adressen anzeigen X X
LAN-Adapter anzeigen X X X X
MAC-Adresse anzeigen X X
Roaming
Roamingstatus ermitteln X X X
Push-Benachrichtigungen beim Roaming deaktivieren X X X X
Sprachroaming aktiviert (zulässig) X X X X
Datennutzung
Datennutzung über das Mobilfunknetz verfolgen X X X
Datennutzung über das WLAN-Netzwerk verfolgen X X X X X
Anrufe
Anrufverlauf verfolgen X X X X
Nachrichten
SMS-Verlauf verfolgen X X X X
Mobilfunkstatus
Aktuelles Betreibernetzwerk X X X
Aktueller Netzwerkstatus X X X
Remoteansicht
Gerät fernsteuern X
Bildschirmaufnahme (speichern, per Mail senden, drucken usw.) X
Bildschirmfreigabe (Remoteansicht in Apps) X
Dateimanager
Gerätedateimanager öffnen X
Geräteregistrierungsmanager öffnen X X X
Dateien kopieren X
Ordner erstellen X
Dateien vom Gerät herunterladen X
Dateien verschieben X
Ordner und Dateien umbenennen X
Dateien auf Gerät hochladen X

Nutzungsbedingungen für BYOD-Endbenutzer

Aus Haftungsgründen müssen Sie die Mitarbeiter informieren, welche Daten erfasst werden und welche Aktionen auf Geräten, die in Workspace ONE UEM registriert sind, zulässig sind. Um Ihre Strategie zu kommunizieren, erstellen Sie Nutzungsbedingungen in Workspace ONE UEM.

Benutzer werden aufgefordert, die von Ihnen konfigurierten Nutzungsbedingungen zu lesen und zu akzeptieren, bevor sie MDM auf ihren persönlichen Geräten aktivieren können. Indem Sie Nutzungsbedingungen basierend auf dem Besitzertyp zuweisen, können Sie verschiedene Vereinbarungen für Unternehmens- und BYOD-Benutzer erstellen und verteilen.

Nachdem Ihre Organisation Nutzungsbedingungen formuliert hat, sollten Sie sie Endbenutzern in Form eines ein- bis zweiseitigen Whitepapers, das unnötige juristische Fachbegriffe vermeidet, zur Verfügung stellen. Bei diesem Whitepaper handelt es sich nicht um die offiziellen Nutzungsbedingungen, denen Endbenutzer zustimmen. Stattdessen dient es dazu, Ihre Unternehmensrichtlinien zu kommunizieren. Im Idealfall sehen Endbenutzer die Nutzungsbedingungen für mitarbeitereigene Geräte nicht erst, wenn sie ihr Gerät registrieren. Kommunizieren Sie vorab und eindeutig, welche Endbenutzerinformationen Sie erfassen und wie sich Ihre BYOD-Richtlinien auf sie auswirken.

Einschränkungen für BYOD-Geräte

Workspace ONE UEM ermöglicht es Ihnen, unterschiedliche Sicherheitsrichtlinien und Einschränkungen für mitarbeitereigene und unternehmenseigene Geräte bereitzustellen.

Mithilfe von Einschränkungsprofilen können Sie strenge Einschränkungen für dedizierte Unternehmensgeräte und lockerere Einschränkungen für mitarbeitereigene Geräte festlegen. Beispielsweise werden Einschränkungen für Apps wie YouTube oder native App Stores in der Regel nicht auf mitarbeitereigenen Geräten bereitgestellt. Stattdessen können Sie Sicherheitsprofile und Einschränkungen erstellen, die den Grad der Gerätesicherheit erhöhen, ohne dass sich dies negativ auf die Funktionalität auswirkt.

Geräteunabhängige Einschränkungen

Workspace ONE UEM stellt für jedes Gerät und jede Plattform die folgenden Einschränkungen zur Verfügung:

  • Verschlüsselte Sicherungen – Schützen Sie alle Sicherungen mit Datenverschlüsselung für BYOD– mit Zugriff auf Unternehmensinhalte.
  • Warnungen vor gefährlichen und betrügerischen Websites in unterstützten Browsern durchsetzen – Benutzer müssen alle Warnungen bestätigen, die vom Browser ausgegeben werden, wenn eine verdächtige Website erkannt wird.
  • Verschieben von E-Mails deaktivieren – Verhindern Sie die Offenlegung vertraulicher Unternehmensdaten, indem Sie die Möglichkeit deaktivieren, eine Unternehmens-E-Mail an ein persönliches Konto weiterzuleiten oder diese in Drittanbieteranwendungen zu öffnen.

Plattformspezifische Einschränkungen

Jede Plattform verfügt über eigene, durchsetzbare Einschränkungen. Bewerten Sie diese Einschränkungen einzeln, um deren Wert für Ihre Bereitstellung zu ermitteln. Einige, wie z. B. iOS-Einschränkungen, die auf überwachte Geräte beschränkt sind, gelten nicht, da mitarbeitereigene Geräte nicht mit dem Apple Configurator registriert werden dürfen.

  • Sie können Sicherheitsprofile und Einschränkungen erstellen, indem Sie zu Ressourcen > Profile und Baselines > Profile navigieren und Hinzufügen auswählen. Wählen Sie dann die entsprechende Plattform aus.
  • Wenn Sie Profile speziell für mitarbeitereigene Geräte erstellen, weisen Sie diese nur Smartgroups mit dem Zuständigkeitstyp „Mitarbeitereigen“ zu. Weitere Informationen finden Sie unter Smartgroups.

Weitere Informationen zum Erstellen von Sicherheitsprofilen und Einschränkungen finden Sie unter Hinzufügen einer Konformitätsrichtlinie.

Enterprise-Löschung für BYOD-Geräte

Ein wichtiger Aspekt Ihrer BYOD-Bereitstellung ist die Entfernung von Unternehmensinhalten, wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht oder gestohlen wird. Workspace ONE UEM ermöglicht Ihnen, eine Enterprise-Löschung auf Geräten durchzuführen, um alle Unternehmensinhalte und Zugriffsmöglichkeiten zu entfernen, die persönlichen Dateien und Einstellungen jedoch unangetastet zu lassen.

Während eine Geräte-Löschung ein Gerät in seinen ursprünglichen Werkszustand zurückversetzt, können Sie mit Workspace ONE UEM entscheiden, wie weit eine Enterprise-Löschung auf öffentliche und gekaufte VPP-Anwendungen, die sich in einem Graubereich zwischen unternehmens- und mitarbeitereigenen Geräten befinden, angewendet werden soll. Durch eine Enterprise-Löschung wird zudem das Gerät bei Workspace ONE UEM abgemeldet und es werden alle Inhalte entfernt, die über MDM aktiviert wurden. Zu diesen Inhalten zählen E-Mail-Konten, VPN-Einstellungen, WLAN-Profile, sichere Inhalte und Unternehmensanwendungen.

Wenn Sie Apple Volume Purchase Plan-Einlösungscodes für Geräte mit iOS 6 und früheren Versionen verwendet haben, können Sie bereits eingelöste Lizenzen für diese Anwendung nicht zurückfordern. Wenn die Anwendung installiert ist, ist sie dem App-Store-Konto des Benutzers zugeordnet. Diese Zuordnung kann nicht rückgängig gemacht werden. Allerdings können Sie Lizenzcodes einlösen, die für iOS 7 und höher verwendet wurden.

  • Geräte-Wipe – Senden Sie einen MDM-Befehl, um alle Daten und das Betriebssystem von einem Gerät zu entfernen. Diese Aktion kann nicht rückgängig gemacht werden.

    • Aspekte bei einer iOS-Geräte-Löschung
    • Bei Geräten mit iOS 11 und darunter werden mit dem Befehl „Gerätezurücksetzung“ auch die mit den Geräten verbundenen Apple-SIM-Daten gelöscht.
    • Bei Geräten mit iOS 11 und höher können Sie den Apple SIM-Datentarif (sofern auf den Geräten vorhanden) beibehalten. Aktivieren Sie auf der Seite „Geräte-Löschung“ das Kontrollkästchen Datentarif beibehalten, bevor Sie den Löschbefehl senden.
    • Für Geräte ab iOS 11.3+ haben Sie eine zusätzliche Option zum Überspringen des Bildschirms Proximity einrichten, wenn Sie den Befehl für die Geräte-Löschung senden. Wenn die Option aktiviert ist, wird der Bildschirm „Proximity einrichten“ im Setup-Assistenten übersprungen, sodass dem Gerätebenutzer die Option „Proximity einrichten“ nicht angezeigt wird.
    • Bei Windows Desktop-Geräten können Sie den Typ der Geräte-Löschung auswählen.
    • Löschen – Mit dieser Option wird der gesamte Inhalt des Geräts gelöscht.
    • Geschütztes Löschen: Diese Option ähnelt einer normalen Geräte-Löschung, aber der Endbenutzer des Geräts kann die Aktion nicht umgehen. Der Befehl „Geschütztes Löschen“ versucht solange das Gerät zurückzusetzen, bis er erfolgreich ist. Bei einigen Gerätekonfigurationen kann dieser Befehl dazu führen, dass das Gerät nicht mehr gestartet werden kann.
    • Löschen und Provisioning-Daten dauerhaft speichern: Mit dieser Option wird das Gerät gelöscht, es wird jedoch angegeben, dass Provisioning-Daten in einem persistenten Speicherort gesichert werden sollen. Nachdem die Löschung ausgeführt wurde, werden die Provisioning-Daten wiederhergestellt und auf das Gerät angewendet. Der Provisioning-Ordner wird gespeichert. Sie können den Ordner suchen, indem Sie auf dem Gerät zu %ProgramData%\Microsoft\Provisioning navigieren.
  • Enterprise Wipe – Heben Sie die Registrierung eines Geräts auf und entfernen Sie alle verwalteten Unternehmensressourcen, einschließlich Anwendungen und Profile. Diese Aktion kann nicht rückgängig gemacht werden. Zur Verwaltung dieses Geräts durch Workspace ONE UEM ist eine erneute Registrierung erforderlich. Diese Geräteaktion beinhaltet Optionen zur Vermeidung einer zukünftigen erneuten Registrierung und das Textfeld Notizbeschreibung, in das Sie Informationen über die Aktion hinzufügen können.

    • Enterprise-Löschung wird nicht für Geräte, die in Clouddomänen eingebunden sind, unterstützt.

Durchführen eines Enterprise Wipe für ein BYOD-Gerät

Ein Enterprise Wipe hebt die Registrierung des Geräts in Workspace ONE UEM auf und entfernt alle Enterprise-Inhalte, einschließlich E-Mail-Konten, VPN-Einstellungen, Profilen und Anwendungen.

  1. Wählen Sie in der Workspace ONE UEM console die entsprechende Organisationsgruppe aus.
  2. Navigieren Sie zu Geräte > Listenansicht und wählen Sie ein Gerät oder mehrere Geräte in der Liste aus.
  3. Die Ansicht „Gerätedetails“ zeigt eine Liste der Aktionen an, die Sie im Dropdown-Menü Mehr oben rechts durchführen können. Wählen Sie Enterprise Wipe.
  4. Wählen Sie im Bestätigungsdialogfeld Erneute Registrierung verhindern, um zu verhindern, dass dieses Gerät erneut registriert wird.
  5. Geben Sie gegebenenfalls eine Sicherheits-PIN ein, und wählen Sie dann Enterprise Wipe aus, um die Aktion abzuschließen.

Deaktivieren der vollständigen Löschung für BYOD-Geräte

Aus Sicherheits- und Datenschutzgründen können Sie die Möglichkeit, eine vollständige Löschung auf einem BYOD-Gerät durchzuführen, deaktivieren.

Sollten Sie die vollständige Löschung für ausgewählte iOS-Besitztypen deaktivieren, wird auf Geräten dieses Besitztyps während der Profilinstallation die Berechtigung „Alle Inhalte und Einstellungen löschen“ nicht angezeigt.

  1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Datenschutz.
  2. Blättern Sie nach unten zum Abschnitt Befehle und suchen Sie die Spalte Mitarbeitereigen.
  3. Legen Sie für Vollständige Löschung die Option Verhindern fest und wählen Sie dann Speichern aus.
check-circle-line exclamation-circle-line close-line
Scroll to top icon