Wel/niet Intune installeren op privé iPhone?

Ik denk dat het goed is om na te gaan wat de intune instellingen precies zijn. Het is niet alleen een tool om remote te wipen, maar je kunt er vrijwel alles mee dicht zetten. Denk bijvoorbeeld aan het blokkeren van het maken van schermafbeeldingen.

Persoonlijk, mijn telefoon is mijn telefoon.
Daar krijgt de baas nooit toegang toe.

Dus, moet ik van de baas dit gebruiken dan mag de baas ook een toestel verstrekken. Ik snap dat het als interimmer vermoedelijk anders is. Maar dan zou ik het toestel dus niet voor de bedrijfsmail gebruiken en geen beheersprofiel activeren.

Is vrij standaard, als je het niet wil kan je het gewoon niet doen, zo simpel is het. Stel dat je met een MSP te maken hebt of een onkundige partij dan zou ik het sowieso niet doen. Maar als het betrouwbaar is (het personeel) dan kan je mooi gebruik maken van het gemak dat het oplevert.

[ Voor 22% gewijzigd door johnkeates op 21-11-2019 22:48 ]

Je kunt ook navragen of testen of ze naast MDM ook MAM(Mobile application Management)/App protection policies hebben ingericht. Dit is meer gericht naar privé/BYOD devices en dit richt zich alleen op het beveiligen van bedrijfsdata in de desbetreffende apps zoals Outlook. Hiermee zal je als nog de company portal moet installeren, maar deze hoef je niet te openen/te gebruiken, deze wordt alleen gebruikt om de app protection policies te kunnen ontvangen(broker). Hiermee kunnen ze je telefoon niet beheren of wissen. Maar dit is denk ik afhankelijk van hun beveiligingsbeleid i guess


Hier een mooi overzicht van het Intune adoption pack met wat IT wel of niet kan zien wanneer deze MDM managed is.

Hmm waarom op deze manier? Het kan ook totaal anders en blijkbaar weet het beheer niet of dat mogelijk is. Een beheerprofiel op een privé apparaat is helemaal niet nodig. Intune heeft MAM policies en dat staat voor Mobile Application Management. Erg geschikt voor privé apparaten die graag zakelijke content op wil halen. Dan wordt het beheer niet over het apparaat gedaan maar alleen binnen de app. Niet alle apps ondersteunen dit maar die van Microsoft wel, zoals Outlook, Word, etc. Ook een wipe is mogelijk en dan wordt alleen de zakelijke data verwijderd. De rest blijft intact. Als ik jou was zou ik niet akkoord gaan en hen vragen voor een apparaat van de zaak is of ze dienen het beleid aan te passen. Het apparaat is van jou. Dan wil je niet dat zij het beheer over ga doen. Overigens hoeft je geen zorgen te maken over je privacy. Intune doet niets met privacy. Leest geen berichtjes of belgeschiedenis, etc.

Trouwens iOS heeft tegenwoordig een andere methode voor BYOD scenario's, dus voor privé apparaten. Het heet User Enrollment en dat is sinds iOS 13 geïntroduceerd. Wellicht iets te technisch maar hou dat maar aan het beheerteam. Een mix tussen wat zij willen en MAM.

[ Voor 12% gewijzigd door albert04 op 21-11-2019 23:01 ]

Ik zie twee opties:
1) je backupt en dan krijgt genoeg betaald dat het prima is als worst case je iPhone op dag1 wordt gebricked.
2) je zegt nee en zorgt dat je je werk kan doen zonder dat men iets naar je foon stuurt

Optie 3:

Je zorgt voor een tweede telefoon speciaal voor zakelijke doeleinden. Die kan de werkgever dichttimmeren wat hij wil zonder dat het invloed heeft op je privé toestel.

Bijkomen voordeel is dat je werk en privé ook beter kunt scheiden.

Niet aan beginnen, geen software van de werk op je privé-spullen, dat gaat alleen maar voor conflicten zorgen.

Als het mogelijk is om de toegang tot één app te beperken zou ik het nog overwegen, maar vormen van Mobile Device Management waarbij iemand anders op afstand je telefoon kan wissen of overnemen zou ik niet accepteren.

Als dit spul integreert met je mail/agenda dan zullen zakelijke en privé-data ook snel door elkaar lopen en zal het lastig zijn om alles gescheiden te houden.

Niet alleen vanwege het risico dat je baas of een onhandige collega je telefoon wist, maar ook om geen conflicten te hebben als er iets stuk gaat. Als je werktelefoon stuk gaat dan moet je baas zorgen voor een nieuwe. Als je privé-telefoon stuk gaat dan zou je baas kunnen gaan zeuren als je die niet snel genoeg laat repareren. Niet alleen wanneer de hardware stuk gaat, maar ook de software, je wil geen gedoe met je baas als jij de upgrade van je telefoon verbokt.

Kan dit soort software eigenlijk ook iets doen met prive-accounts waar de telefoon op ingelogd is? _{ik bedoel dus niet de data op het device, maar echt de cloud data en settings}

Je moet even nagaan wat er precies ingesteld gaat worden. Een beheerprofiel kan inderdaad heel veel, het kan de installatie van apps blokkeren tot het bezoeken van bepaalde websites, maar dat moet wel ingesteld staan. Waarschijnlijk is het alleen om een profiel te installeren waarmee alle data gepushed kan worden naar je toestel met wat beheer mogelijkheden zoals een remote wipe.

CAPSLOCK2000 schreef op vrijdag 22 november 2019 @ 16:02:
Niet aan beginnen, geen software van de werk op je privé-spullen, dat gaat alleen maar voor conflicten zorgen.

Sorry maar dit is grote onzin. Ik heb nog maar heel weinig conflicten voorbij zien komen. Het kan natuurlijk wel, maar het is geen garantie dat je ook conflicten gaat krijgen.

Als dit spul integreert met je mail/agenda dan zullen zakelijke en privé-data ook snel door elkaar lopen en zal het lastig zijn om alles gescheiden te houden.

Dat is juist 1 van de redenen om het op 1 telefoon te hebben. Je hebt in 1 keer overzicht over je complete agenda.

SgtElPotato schreef op zaterdag 23 november 2019 @ 11:12:
Je moet even nagaan wat er precies ingesteld gaat worden. Een beheerprofiel kan inderdaad heel veel, het kan de installatie van apps blokkeren tot het bezoeken van bepaalde websites, maar dat moet wel ingesteld staan. Waarschijnlijk is het alleen om een profiel te installeren waarmee alle data gepushed kan worden naar je toestel met wat beheer mogelijkheden zoals een remote wipe.

Dit inderdaad.

Zorg dat je van tevoren weet waar je mee akkoord gaat.

Ik heb zelf ook een zakelijke iPhone met een MDM profiel en daar wordt best het één en ander geblokkeerd.
Enkele voorbeelden van zaken die geblokkeerd zijn:
- Siri (en daarmee CarPlay dus ook).
- Facetime
- iCloud sleutelhanger.
- iCloud Drive. App geeft alleen toegang tot lokale bestanden.
- iCloud backup
- Apps mogen geen gegevens opslaan of synchroniseren in / via iCloud.

Aangezien het een door de baas verstrekt toestel is, heb ik er geen problemen mee, maar dit zijn beperkingen die ik op mijn privé telefoon niet zou willen hebben.

Oh ja, het weigeren van MDM is toegestaan, maar dan krijg je op je telefoon geen toegang tot je zakelijke e-mail en agenda, terwijl dat nou net zo handig is.

Yucon schreef op zaterdag 23 november 2019 @ 11:07:
Kan dit soort software eigenlijk ook iets doen met prive-accounts waar de telefoon op ingelogd is? _{ik bedoel dus niet de data op het device, maar echt de cloud data en settings}

In theorie kan dat maar ik heb er nog nooit van gehoord.

Rolfie schreef op zaterdag 23 november 2019 @ 11:17:
Sorry maar dit is grote onzin. Ik heb nog maar heel weinig conflicten voorbij zien komen. Het kan natuurlijk wel, maar het is geen garantie dat je ook conflicten gaat krijgen.

Ik heb niet gezegd dat je gegarandeerd problemen krijgt, maar dat de hele situatie een conflict van belangen is.
Het gaat me niet om concrete problemen maar om het algehele principe. Werk en privé moet je gescheiden houden.
Als je telefoon gestolen wordt dan moet je baas onmiddellijk op de "delete" knop kunnen drukken, anders heeft het allemaal weinig zin. Als er ook privé-data op zo'n telefoon staat bestaat het risico dat werknemers niet direct melden dat de telefoon weg is maar het uitstellen, of dat de baas uit sympathie met z'n medewerkers zelf wacht met wissen. Door zakelijk en prive gescheiden te houden kunnen werkgever en werknemer onmiddellijk de juiste actie nemen (de telefoon wissen) zonder zorgen over verlies van persoonlijke data en de emoties die daar bij horen.

Dat is juist 1 van de redenen om het op 1 telefoon te hebben. Je hebt in 1 keer overzicht over je complete agenda.

Het is een trade-off tussen gemak op korte termijn en op lange termijn.

Misschien moeten we het principe van de "dual-sim" telefoon eens uitbreiden naar een "dual-device" telefoon: twee volledig gescheiden telefoons in één behuizing die geen data delen maar wel samenwerken om de gebruiker de ervaring te geven dat het één systeem is. Zodat je één helft kan wissen zonder invloed te hebben op de andere helft.

CAPSLOCK2000 schreef op zaterdag 23 november 2019 @ 13:59:
Als je telefoon gestolen wordt dan moet je baas onmiddellijk op de "delete" knop kunnen drukken, anders heeft het allemaal weinig zin. Als er ook privé-data op zo'n telefoon staat bestaat het risico dat werknemers niet direct melden dat de telefoon weg is maar het uitstellen, of dat de baas uit sympathie met z'n medewerkers zelf wacht met wissen.

afhankelijk van de mogelijkheden, kun je vaak ook alleen de (mail) applicatie wissen.

Misschien moeten we het principe van de "dual-sim" telefoon eens uitbreiden naar een "dual-device" telefoon: twee volledig gescheiden telefoons in één behuizing die geen data delen maar wel samenwerken om de gebruiker de ervaring te geven dat het één systeem is. Zodat je één helft kan wissen zonder invloed te hebben op de andere helft.

MAM bedoel je eigenlijk? Daarin heb je een container of bubbel die door het werk beheerd wordt. En werk heeft alleen toegang tot die container. Moet die gewist worden, dan wissen ze de container inhoud en blijven van de rest allemaal af.

We hebben hier ook gewoon een container met onze werk applicaties. Werk kan alleen maar iets met de workprofile doen. Dit is gewoon in een bubbel met zakelijke apps. Met af en toe een gaatje naar buiten.
Nadeel is, dat het zo afgeschermd is, dat het eigenlijk niet te gebruiken is. Contact personen van outlook, zitten alleen in de bubbel. Leuk als je een klant wilt bellen.... Foto's kun je niet toevoegen aan je mails.
Dus krijg je shadow IT, want dit zijn toch wel vrij basic puntenjes.