[iOS] Appwipe ipv devicewipe - iPhones, iPads en Apple Watch

Vraag

donderdag 1 oktober 2020 19:13

Acties:

+1 Henk 'm!

Topicstarter

Al een paar dagen probeer ik een appwipe op iOS voor elkaar te krijgen in een labomgeving met Microsoft Endpoint Manager, omdat wij BYOD willen gaan toestaan voor sommige gebruikers.

Voor Android heeft onze organisatie twee profielen gepland. Een "Personal device with work profile" profiel voor BYOD en een "Corporate-owned, fully managed user devices" profiel. Zodra je in Endpoint Manager de device verwijdert, dan verdwijnt binnen enkele seconden de work profile of de device wordt gereset. Alle privedata blijft staan, tenzij het een corporate owned device is, dan wordt de device gewoon gereset.

Met iOS werkt dat niet. Een appwipe vanuit Endpoint Manager doet niets. Wat wij doen:
1. Useraccount op block sign in
2. Appwipe op deviceniveau als userniveau vanuit Endpoint Manager
Er gebeurt niet zo veel. Het enige wat er gebeurt is dat de app van de user na enkele uren vraagt opnieuw in te loggen, maar de data blijft er op staan. Ik wil juist dat de company data verdwijnt zonder dat het hele toestel wordt gereset.

Wat doe ik hier verkeerd? Hoe kan ik een appwipe forceren?

Alle reacties

vrijdag 2 oktober 2020 19:58

Acties:

0 Henk 'm!

Trommelrem

Topicstarter

* schopje

vrijdag 2 oktober 2020 20:59

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Is de app geconfigureerd als een managed app?

Going for adventure, lots of sun and a convertible! | GMT-8

vrijdag 2 oktober 2020 22:36

Acties:

0 Henk 'm!

Trommelrem

Topicstarter

Snake schreef op vrijdag 2 oktober 2020 @ 20:59:
Is de app geconfigureerd als een managed app?

Jazeker. De testuser krijgt ook gewoon een melding om een app "trusted" te maken als deze al geinstalleerd is, of om een app te installeren als deze required is. Die melding zou ik het liefst weg hebben, maar dan moet je geloof ik Apple Business Manager hebben. Die hebben wij wel op de productie omgeving, maar niet voor de testomgeving.

[ Voor 21% gewijzigd door Trommelrem op 02-10-2020 22:37 ]

vrijdag 2 oktober 2020 22:58

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

De testuser krijgt ook gewoon een melding om een app "trusted" te maken als deze al geinstalleerd is,

neen, dat hebben wij ook op onze iPhones, ik denk dat dat eerder te maken heeft met het feit dat ineens AL de data van die app in een jail zit, ook de persoonlijke.

Going for adventure, lots of sun and a convertible! | GMT-8

zaterdag 3 oktober 2020 12:02

Acties:

0 Henk 'm!

Trommelrem

Topicstarter

Echter moet daarvoor wel de Company Portal app worden geinstalleerd. Voor corporate telefoons is dat geen issue en zelfs verplicht, maar er zijn een aantal BYOD gebruikers die wij de Company Portal op iOS niet willen opdringen omdat wij daarmee de rechten krijgen om een device wipe uit te voeren. Voor Android is dat geen issue omdat er een apart werkprofiel wordt geinstalleerd, maar dat gebeurt op iOS niet.

Ook zonder de Company Portal op iOS zou een appwipe mogelijk moeten zijn, volgens de documentatie.

zondag 4 oktober 2020 04:42

Acties:

0 Henk 'm!

talin

ES-MA

Trommelrem schreef op donderdag 1 oktober 2020 @ 19:13:

Wat doe ik hier verkeerd? Hoe kan ik een appwipe forceren?

ik wil je niet ontmoedigen maar ik ben in 2012 overgestapt van BIS ( Blackberry server ) naar MDM voor IOS.
ik heb al heel wat MDM oplossingen gezien en uitvoerig getest.

de enige oplossing die ik ooit werkend heb gehad is:
- IOS apparaat nieuw uit doos
- aanmelden met mijn corporate account
- aanmelden op de MDM portal
- dan krijgt ie zn profiel geïnstalleerd en de bijbehorende apps en dat is de enigste manier waarop ik controle heb over dat apparaat.

zelf mensen een apparaat laten kopen en apps op eigen account laten installeren (met name de portal installeren met eigen account ) kunnen ze installeren wat ze willen maar ik kan er niks mee ( behalve complete wipe, waar ze toestemming voor geven bij installeren van profiel )

heb zelfs de school MDM oplossing geprobeerd daar is het helemaal drama in.

mail instellingen pushen
VPN profiel erop zetten
dat gaat perfect en die er ook weer afhalen geen probleem

apps pushen gaat moeizaam maar het werkt maar er af halen heeft nog nooit gewerkt.

in this world there’s two kinds of people, my friend: Those with loaded guns and those who dig. You dig!

zondag 4 oktober 2020 20:48

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Trommelrem schreef op vrijdag 2 oktober 2020 @ 22:36:
[...]

Jazeker. De testuser krijgt ook gewoon een melding om een app "trusted" te maken als deze al geinstalleerd is, of om een app te installeren als deze required is. Die melding zou ik het liefst weg hebben, maar dan moet je geloof ik Apple Business Manager hebben. Die hebben wij wel op de productie omgeving, maar niet voor de testomgeving.

Pas hiermee op bij BYOD toestellen. Als je namelijk controle neemt over een app welke de user zelf ook al gebruikt ga je ook controle nemen over zijn data. Dlen dat gaan ze niet leuk vinden.

Voorbeeld: Ze hebben microsoft authenticator op hun device. Vervolgens gaat hun prive toestel aan een mdm gekoppeld worden, bijvoorbeeld om zo toegang te krijgen tot corporate email. Als je dan vervolgens controle wilt over de authenticator app dan word deze verwijderd bij een selective-, full- of appwipe. En dat gaan ze je niet in dank afnemen

“Choose a job you love, and you will never have to work a day in your life.”

zondag 4 oktober 2020 20:50

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

talin schreef op zondag 4 oktober 2020 @ 04:42:
[...]

ik wil je niet ontmoedigen maar ik ben in 2012 overgestapt van BIS ( Blackberry server ) naar MDM voor IOS.
ik heb al heel wat MDM oplossingen gezien en uitvoerig getest.

de enige oplossing die ik ooit werkend heb gehad is:
- IOS apparaat nieuw uit doos
- aanmelden met mijn corporate account
- aanmelden op de MDM portal
- dan krijgt ie zn profiel geïnstalleerd en de bijbehorende apps en dat is de enigste manier waarop ik controle heb over dat apparaat.

zelf mensen een apparaat laten kopen en apps op eigen account laten installeren (met name de portal installeren met eigen account ) kunnen ze installeren wat ze willen maar ik kan er niks mee ( behalve complete wipe, waar ze toestemming voor geven bij installeren van profiel )

heb zelfs de school MDM oplossing geprobeerd daar is het helemaal drama in.

mail instellingen pushen
VPN profiel erop zetten
dat gaat perfect en die er ook weer afhalen geen probleem

apps pushen gaat moeizaam maar het werkt maar er af halen heeft nog nooit gewerkt.

Apart dat je het niet goed werkend krijgt. Ik doe ook al jaren mdm/mam oplossingen en juist met iOS werkt alles perfect. DEP/VPP/BYOD/COPE/COBO/Etc alles werkt als een zonnetje.

“Choose a job you love, and you will never have to work a day in your life.”

zondag 4 oktober 2020 21:40

Acties:

0 Henk 'm!

Trommelrem

Topicstarter

Tylen schreef op zondag 4 oktober 2020 @ 20:48:
[...]

Pas hiermee op bij BYOD toestellen. Als je namelijk controle neemt over een app welke de user zelf ook al gebruikt ga je ook controle nemen over zijn data. Dlen dat gaan ze niet leuk vinden.

Voorbeeld: Ze hebben microsoft authenticator op hun device. Vervolgens gaat hun prive toestel aan een mdm gekoppeld worden, bijvoorbeeld om zo toegang te krijgen tot corporate email. Als je dan vervolgens controle wilt over de authenticator app dan word deze verwijderd bij een selective-, full- of appwipe. En dat gaan ze je niet in dank afnemen .

Authenticator zal geen managed app worden, om deze reden. Wij vragen ook om de kantoorsleutels aan de prive sleutelbos te hangen en om ze thuis te bewaren, niet op kantoor. Het gaat alleen om OneDrive, Teams en Outlook.

Tylen schreef op zondag 4 oktober 2020 @ 20:50:
[...]

Apart dat je het niet goed werkend krijgt. Ik doe ook al jaren mdm/mam oplossingen en juist met iOS werkt alles perfect. DEP/VPP/BYOD/COPE/COBO/Etc alles werkt als een zonnetje.

Android werkt in ons lab out of the box goed. Werkprofiel wordt netjes verwijderd en alle werkdata is verwijderd. Maar iOS werkt in ons lab niet. Apps worden wel uitgerold, er is een App protection policy maar de betreffende apps verwijderen niet hun werkdata als we een userwipe of appwipe doen. Alleen Company Portal devices doen een factory reset, maar we willen op BYOD devices absoluut geen Company Portal hebben. Missen wij iets?

vrijdag 9 oktober 2020 20:24

Acties:

0 Henk 'm!

Trommelrem

Topicstarter

* schopje

Wellicht iemand die de eigen interne procedure deels kan delen voor BYOD en iOS?

Het lijkt er nu op dat iOS alleen goed in BYOD kan als de device toch fully managed is. Dat betekent dat wij wellicht een vergoeding gaan geven voor iCloud zodat medewerkers van hun privedata een backup kunnen maken op hun privetelefoon zodra zij de Company Portal installeren, zodat een device wipe niet tot privedataverlies leidt. Dat kan toch niet de enige oplossing zijn?

zondag 11 oktober 2020 02:31

Acties:

0 Henk 'm!

talin

ES-MA

Trommelrem schreef op vrijdag 9 oktober 2020 @ 20:24:
* schopje

Wellicht iemand die de eigen interne procedure deels kan delen voor BYOD en iOS?

Het lijkt er nu op dat iOS alleen goed in BYOD kan als de device toch fully managed is. Dat betekent dat wij wellicht een vergoeding gaan geven voor iCloud zodat medewerkers van hun privedata een backup kunnen maken op hun privetelefoon zodra zij de Company Portal installeren, zodat een device wipe niet tot privedataverlies leidt. Dat kan toch niet de enige oplossing zijn?

wellicht niet het antwoord wat je wil horen maar volgens mij is het niet jou probleem.
jij hebt nu uitgevonden wat wel en niet kan, dit terug aan management geven en zij mogen met een oplossing komen, of BYOD met deze hiaten of toch een corporate apparaat.

in this world there’s two kinds of people, my friend: Those with loaded guns and those who dig. You dig!

zondag 11 oktober 2020 08:45

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Trommelrem schreef op vrijdag 9 oktober 2020 @ 20:24:
* schopje

Wellicht iemand die de eigen interne procedure deels kan delen voor BYOD en iOS?

Het lijkt er nu op dat iOS alleen goed in BYOD kan als de device toch fully managed is. Dat betekent dat wij wellicht een vergoeding gaan geven voor iCloud zodat medewerkers van hun privedata een backup kunnen maken op hun privetelefoon zodra zij de Company Portal installeren, zodat een device wipe niet tot privedataverlies leidt. Dat kan toch niet de enige oplossing zijn?

Apps kan je ook managed aanbieden. Dan kan je een selective wipe (alleen dat van het bedrijf) of full wipe (gehele toestel word gewist) geven.

Hoe dat precies met intune werkt weet ik niet (kan ik wel eens uitzoeken, heb een paar intune licenties) Maar met XenMobile werkt dit perfect. Dus ga ervanuit dat dit met intune ook gewoon goed kan.

Maar even terug naar de basis. Wil je op de byod toestellen alleen MAM doen? Of ook MDM??

[ Voor 3% gewijzigd door Tylen op 11-10-2020 08:59 ]

“Choose a job you love, and you will never have to work a day in your life.”

zaterdag 17 oktober 2020 10:39

Acties:

0 Henk 'm!

Trommelrem

Topicstarter

talin schreef op zondag 11 oktober 2020 @ 02:31:
[...]

wellicht niet het antwoord wat je wil horen maar volgens mij is het niet jou probleem.
jij hebt nu uitgevonden wat wel en niet kan, dit terug aan management geven en zij mogen met een oplossing komen, of BYOD met deze hiaten of toch een corporate apparaat.

Het probleem is dat het volgens de documentatie wel moet kunnen. En nee, dat antwoord ga ik niet terugkoppelen. Ik heb teruggekoppeld dat het tijdelijk niet kan. Ik wil het zelf ook gewoon werkend hebben.

Tylen schreef op zondag 11 oktober 2020 @ 08:45:
[...]

Apps kan je ook managed aanbieden. Dan kan je een selective wipe (alleen dat van het bedrijf) of full wipe (gehele toestel word gewist) geven.

Hoe dat precies met intune werkt weet ik niet (kan ik wel eens uitzoeken, heb een paar intune licenties) Maar met XenMobile werkt dit perfect. Dus ga ervanuit dat dit met intune ook gewoon goed kan.

Maar even terug naar de basis. Wil je op de byod toestellen alleen MAM doen? Of ook MDM??

Op iOS en BYOD wil ik alleen MAM doen. In de teststraat krijg ik het dus op een of andere manier niet voor elkaar en ik zou niet weten waar ik op iOS de logbestanden moet terugvinden.

zaterdag 17 oktober 2020 13:36

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Trommelrem schreef op zaterdag 17 oktober 2020 @ 10:39:
[...]

Het probleem is dat het volgens de documentatie wel moet kunnen. En nee, dat antwoord ga ik niet terugkoppelen. Ik heb teruggekoppeld dat het tijdelijk niet kan. Ik wil het zelf ook gewoon werkend hebben.

[...]

Op iOS en BYOD wil ik alleen MAM doen. In de teststraat krijg ik het dus op een of andere manier niet voor elkaar en ik zou niet weten waar ik op iOS de logbestanden moet terugvinden.

MAM only kan selective wipe doen. Zie hier: https://docs.microsoft.com/nl-nl/mem/intune/apps/mam-faq

What is selective wipe for MAM?

Selective wipe for MAM simply removes company app data from an app. The request is initiated using the Microsoft Endpoint Manager admin center. To learn how to initiate a wipe request, see How to wipe only corporate data from apps.

“Choose a job you love, and you will never have to work a day in your life.”

zondag 18 oktober 2020 00:15

Acties:

0 Henk 'm!

Donstil

Ik heb ervaring met Sophos MDM, Intune en Knox en deze kunnen alle drie wat jij omschrijft of wenst.

Sterker nog volgens mij kan zelfs Office 365 een selective wipe doen zonder dat het device in intune zit maar dat zou ik na moeten kijken.

Edit: Exchange 2016 kan je ook een Account Only Remote Wipe Device doen, dan gaat alleen de data uit mail/contacten/agenda.

Wat wil je precies kunnen wipen eigenlijk?

[ Voor 35% gewijzigd door Donstil op 18-10-2020 00:22 ]

My thirsty wanted whiskey. But my hunger needed beans

Pagina: 1

Reageer