Microsoft Intune op bedrijfstoestellen kunnen ze alles zien?

Kan een device wipe ook een gevolgen hebben voor gekoppelde prive cloud content?

Niet voor de content in de cloud, wel voor alle content die op het toestel staat.

Ze zien geen files, maar krijgen wel een lijst van de geïnstalleerde apps, drivers en welke apps er draaien en welke drivers zijn geladen.

Op basis van die lijst kunnen ze regels opstellen ("als applicatie X is geïnstalleerd, dan geen toegang tot applicatie/resource Y" of "als driver A geladen is, dan geen toegang tot het bedrijfsnetwerk").

Dit is allemaal begrijpelijk en geen probleem.

Maar naast dit, krijgen ze ook zeggenschap over je schijf, en om die reden komt Intune niet op mijn BYOD-laptop. Bedrijfspolicy van mijn werkgever is namelijk een wipe als er ook maar iets is (niet alleen bij onraad, maar ook bij uit dienst). Dan kun je dus alles opnieuw installeren en backups terugzetten. De reden die men opgeeft is dat gevoelige informatie ook op je lokale drive terecht kan komen, en dat ze willen voorkomen dat ex-medewerkers zaken in hun bezit houden. Klinkt leuk, maar kwaadwillenden kunnen dat natuurlijk omzeilen door die files eerst te backuppen voor Intune gaat wipen.

Gelukkig biedt men de meeste applicaties ook aan via een Citrix-omgeving of een webversie. Daar is Inune niet voor vereist.

Hier toch nog een vraag over. Ik zie hij intune staan dat ze het volgende kunnen :

“Gegevens weergeven die zijn verzameld door zakelijke apps en netwerken”

Betekenend dat dat ze bijv wel m’n zakelijke e-mails kunnen lezen en LinkedIn kunnen checken?

In principe niet nee, maar met intune kan je ook zaken pushen/installeren dus je zou via intune een app kunnen installeren die dat wel kan gaan uitlezen.

siemenz schreef op dinsdag 7 december 2021 @ 22:10:
Hier toch nog een vraag over. Ik zie hij intune staan dat ze het volgende kunnen :

“Gegevens weergeven die zijn verzameld door zakelijke apps en netwerken”

Betekenend dat dat ze bijv wel m’n zakelijke e-mails kunnen lezen en LinkedIn kunnen checken?

Neem een Intune beheerder kan geen inhoudelijke gegevens zien. Dus niet je mail lezen of je Linkedin etc

Wat die zin betekend is dat er data doorgestuurd wordt zoals wanneer geïnstalleerd, welke versie, etc

Intune heeft niet de mogelijkheid om data te zien.

Heroic_Nonsense schreef op vrijdag 15 mei 2020 @ 11:45:
Ze zien geen files, maar krijgen wel een lijst van de geïnstalleerde apps, drivers en welke apps er draaien en welke drivers zijn geladen.

Op basis van die lijst kunnen ze regels opstellen ("als applicatie X is geïnstalleerd, dan geen toegang tot applicatie/resource Y" of "als driver A geladen is, dan geen toegang tot het bedrijfsnetwerk").

Dit is allemaal begrijpelijk en geen probleem.

Maar naast dit, krijgen ze ook zeggenschap over je schijf, en om die reden komt Intune niet op mijn BYOD-laptop. Bedrijfspolicy van mijn werkgever is namelijk een wipe als er ook maar iets is (niet alleen bij onraad, maar ook bij uit dienst). Dan kun je dus alles opnieuw installeren en backups terugzetten. De reden die men opgeeft is dat gevoelige informatie ook op je lokale drive terecht kan komen, en dat ze willen voorkomen dat ex-medewerkers zaken in hun bezit houden. Klinkt leuk, maar kwaadwillenden kunnen dat natuurlijk omzeilen door die files eerst te backuppen voor Intune gaat wipen.

Gelukkig biedt men de meeste applicaties ook aan via een Citrix-omgeving of een webversie. Daar is Inune niet voor vereist.

Het gaat om Intune voor mobile devices (iPhone in dit geval) dus 90% van je tekst is hier niet van toepassing.

Verwijderd schreef op woensdag 8 december 2021 @ 07:16:
[...]


Het gaat om Intune voor mobile devices (iPhone in dit geval) dus 90% van je tekst is hier niet van toepassing.

Je hebt gelijk.

Anderhalf jaar later dan wel, maar je hebt nog steeds gelijk

siemenz schreef op dinsdag 7 december 2021 @ 22:10:
Hier toch nog een vraag over. Ik zie hij intune staan dat ze het volgende kunnen :

“Gegevens weergeven die zijn verzameld door zakelijke apps en netwerken”

Betekenend dat dat ze bijv wel m’n zakelijke e-mails kunnen lezen en LinkedIn kunnen checken?

Beheer kan sowieso jouw zakelijke e-mails lezen.

Bezulba schreef op woensdag 8 december 2021 @ 08:38:
[...]

Beheer kan sowieso jouw zakelijke e-mails lezen.

Ja, maar dat gebeurt dan niet in Intune, maar via Exchange of eigen mailoplossing.

Heroic_Nonsense schreef op woensdag 8 december 2021 @ 08:05:
[...]


Je hebt gelijk.

Anderhalf jaar later dan wel, maar je hebt nog steeds gelijk

Het was nog vroeg! Had het helemaal niet opgemerkt...

Bezulba schreef op woensdag 8 december 2021 @ 08:38:
[...]

Beheer kan sowieso jouw zakelijke e-mails lezen.

Ze hebben de technische mogelijkheid ja. Ik mag wel hopen dat beheerders wat beters te doen hebben dan mailboxen doorlezen én dat er auditing geregeld is zodat een dergelijke actie meteen op papier staat.

Dat is (imo) nog wel een belangrijk verschil.

Bezulba schreef op woensdag 8 december 2021 @ 08:38:
[...]

Beheer kan sowieso jouw zakelijke e-mails lezen.

Technisch gezien wel maar of dat privacy/juridisch zomaar mag is een tweede.

Misschien voor als mensen die (terug) lezen, als je dit soort vragen hebt loop anders eens langs bij ICT/de beheerder? Ik krijg deze vraag ook regelmatig en als mensen dan toch hier zijn zoek ik het toestel even op in Intune en laat ze zien wat "wij" kunnen zien.
Vrijwel altijd zijn ze gerust gesteld en valt het ze enorm mee

Verwijderd schreef op woensdag 8 december 2021 @ 08:52:
[...]

Ze hebben de technische mogelijkheid ja. Ik mag wel hopen dat beheerders wat beters te doen hebben dan mailboxen doorlezen én dat er auditing geregeld is zodat een dergelijke actie meteen op papier staat.

Dat is (imo) nog wel een belangrijk verschil.

Ken maar weinig bedrijven waar die auditing goed geregeld is hoor. Zelfs bij mijn vorige werkgever, 1 van 's werelds grootste advocatenkantoren die echt wel weten wat een legal hold is bijv., stond auditing gewoon uit net omdat ze die gegevens niet willen bewaren daar je ineens veel te veel gegevens bewaard als je auditing aanzet.

En er zijn ook zovele manieren waarop ik data uit een mailbox zou kunnen halen, en probeer je daar maar eens allemaal tegen te beschermen. Voor een groot deel is dat vertrouwen en hopen dat je beheerders zich houden aan de richtlijnen alsook de NDA die je getekend hebt. Sowieso kom ik nooit in een mailbox zonder toestemming van de eigenaar.

En ook met Intune is het inderdaad niet zomaar mogelijk om te zeggen: ik ga even wat meelezen op gebruiker X zijn telefoon of de controle overnemen. Zo is het, gelukkig, niet ontworpen.

TS: gaat het nou om een privétoestel dat je zakelijk gebruikt? Dan zou ik weigeren dit soort spyware te installeren. Als de werkgever dingen van mij eist, moet hij me daar ook maar een apparaat voor geven.

kleine toevoeging daar dit niet ter sprake is gekomen:

het 'shadowen' van gebruikers in een 'normale' active directory is mogelijk ZONDER dat de gebruiker dit weet in bijvoorbeeld een RDS-omgeving.

Dit houdt in dat een administrator je gehele scherm (of schermen) REAL TIME kan zien zonder dat je hiervan afweet.

Google naar 'shadow user session active directory' voor meer informatie. weet niet of dit mogelijk is bij intune solutions

Xelefim schreef op maandag 20 december 2021 @ 19:36:
kleine toevoeging daar dit niet ter sprake is gekomen:

het 'shadowen' van gebruikers in een 'normale' active directory is mogelijk ZONDER dat de gebruiker dit weet in bijvoorbeeld een RDS-omgeving.

Dit houdt in dat een administrator je gehele scherm (of schermen) REAL TIME kan zien zonder dat je hiervan afweet.

Google naar 'shadow user session active directory' voor meer informatie. weet niet of dit mogelijk is bij intune solutions

RDS en Intune zijn echt totaal verschillend van elkaar.

Xelefim schreef op maandag 20 december 2021 @ 19:36:
kleine toevoeging daar dit niet ter sprake is gekomen:

het 'shadowen' van gebruikers in een 'normale' active directory is mogelijk ZONDER dat de gebruiker dit weet in bijvoorbeeld een RDS-omgeving.

Dit houdt in dat een administrator je gehele scherm (of schermen) REAL TIME kan zien zonder dat je hiervan afweet.

Google naar 'shadow user session active directory' voor meer informatie. weet niet of dit mogelijk is bij intune solutions

Ai ai ai... hij heeft de klok horen luiden, maar hij weet niet waar de klepel hangt.