De grens tussen franchise en een eigen bedrijf is natuurlijk erg vaag, maar doorgaans betekent een franchise (zeg maar, je bent een snellaadpaal exploitant met een fastned station langs de snelweg), dat je min of meer aan het keurslijf van de moederbedrijf moet houden. Logo's, merken, interface, maar ook organisatie van het winkeltje er naast en de bijbehorende systemen/documentatie. Er zit immers een stukje handelsgeheim achter.
Doorgaans is een managed omgeving inderdaad vrij restrictief, maar wel makkelijk in het gebruik volgens de huidige guidelines. Inloggen met één account (microsoft, citrix, whatever), applicaties verplichten die account óók te gebruiken (via SAML, zoals het via microsoft kan) is daar een voorbeeld van: dit maakt het afdwingen van MFA en één inlog erg eenvoudig, en mocht er SAAS worden aangeschaft dan voorkomt het ook dat iemand bijvoorbeeld na zijn vertrek bij de organisatie alsnog bij de SAAS omgeving kan. Waarom? Centrale inlog werkt niet.
HOE een applicatie op zo'n omgeving komt maakt doorgaans niet heel erg uit, maar een zeker keurslijf zal wel worden aangebracht. Qua netwerk kom je dan vrij snel 802.1X/Radius-achtige dingen tegen. En nee: dat is niet netwerk beperken op basis van mac address (want die kun je vrij eenvoudig veranderen en is per definitie niet uniek), maar op basis van device certificaten.
Om de apparaten en de data er op te beveiligen worden zaken als geheugen-versleuteling (zodat je als je met LN2 een DIMM uit een machine trekt niet alsnog met een andere machine het geheugen kan uitlezen), opslag medium versleuteling (gekoppeld aan een TPM zodat je niet elke boot een rottige pin moet invoeren), en bepaalde enrollment policies (zoals: 5 foute inlog acties = wipe) ook afgedwongen.
Dat soort zaken betekent doorgaans ook dat dingen als mail, documentbeheer, en administratie óók gestandaardiseerd worden zodat je bij zo'n wipe vrij snel weer aan de bak bent (immers, sharepoint/onedrive/outlook is niet bepaald device gebonden). En om te voorkomen dat dat alsnog fout gaat, kan een beheerder ook daar "foolproofing" toepassen.
Wat je krijgt is een werkplek die gewoon werkt, makkelijk is, veilig is, inloggen op sommige plekken makkelijk maakt door middel van Windows Hello (fingerprint/facescan), maar toch veilig genoeg is dat hij je een MFA/OTP melding/verzoek geeft als je niet op een bepaalde context-omgeving bent (zoals: buiten in het veld aan het werk).
Afhankelijk van wat je wilt is er altijd een oplossing mogelijk. Een use-case als "printen" is vrij standaard, follow-me-printing is vrij volwassen en eenvoudig -- zelfs voor unieke gevallen zoals labelprinters of plotters.
Admin? Tsja, "waarom" is een ding. Veel organisaties hebben dev werkplekken waarop bepaalde restricties (zelf applicaties beheren) losser gelaten zijn. In mijn vakgebied komt dat vaak voor, want GIS/datascience specialisten hebben nou eenmaal enorm veel behoefte bij een IDE, extensies voor die IDE, en runtime environments (hoewel juist die wereld die voorheen 20 conda omgevingen met in elk 50+ python modules had juist nu naar de cloud gaat omdat ze per minuut ook GPU's erbij kunnen krijgen).
Waar je precies naar op zoek bent is me niet duidelijk. Je omschrijft namelijk oplossingen maar het probleem is me niet duidelijk. Ik snap zelfs in de franchise scope heel erg dat een IT afdeling zaken als mail afschermt (sterker nog, zal me niet verbazen als ze elke verzonden mail een juridische disclaimer server-side geven als het externe mails zijn, en jou vragen om ook data-veiligheidslabels toe te voegen/mails te versleutelen als de veiligheid een bepaald niveau heeft).
Als je IT afdeling hun werk heeft gedaan, dan is de "wireshark met een extern kastje"-manier van LAN-onderschappen als het goed is niet mogelijk zonder dat je de keys ook hebt ingelezen.
Maar als je aangaf wat je probleem áchter je probleem is (printer aansluiten?) -- dan kunnen we misschien wel helpen.
Mocht dat niet een optie zijn dan zou je het ook zelf kunnen doen, door bijvoorbeeld je franchise op te zeggen en je bedrijf op eigen pootjes te bouwen. Let wel op dat zeker op het moment dat je bijvoorbeeld een cybersecurity verzekering wilt gaan afsluiten dat de verzekeraar óók bepaalde eisen aan je gaat stellen! Je wilt niet van de Maersk situaties hebben waar je containerterminal door een stukje ransomware (wat mogelijk binnenkwam omdat iemand op een banner drukte van een bloemenbedrijf op een website waarbij hij dacht: hey, leuk, bloemen voor m'n vrouw) dagen plat ligt. Of die ene bekende youtuber die met 50 man personeel ineens z'n inkomsten kwijt was omdat een pdf file van een social engineering club vrij eenvoudig de cookies van z'n browser kon exporteren naar desbetreffende club mét ingelogde youtube admin account...
Edit:
Lees nu idd (was wat te happig om even de software/organisatie rationale in te duiken) dat het om camera's gaat.
Gevoelig onderwerp, veel AVG, en natuurlijk een belangrijke stap in de procesketen. Ik zou de franchisebieder vragen wat voor oplossingen zij bieden. Want aan de ene kant hebben we het over de camera's zelf, aan de andere kant over de use-case: "hoe krijgen we die data op een off-site plek". Omdat wát er op camera's opgenomen wordt aan een hoop wetgeving is gebonden kan ik me voorstellen dat de franchisebieder een hoop regels/beleid heeft hier omheen, en mogelijke en kant-en-klaar oplossing heeft (die bijvoorbeeld voor jou gezichten blurt maar via politie toegang wel de politie inzicht geeft, en die voorkomt dat je mogelijk de zoveelste ondernemer bent met een camera in het vrouwentoilet -- niet dat je dat bent maar dat soort geintjes ís voorgekomen en als ik een bedrijf ben wat mijn naam aan een franchisenemer aanbied, wil ik voorkomen dat jij zo'n iemand bent, no hard feelings
). Veel van dit soort dingen gaan SAAS, of worden centraal opgelost. Als het meer MKB is kom je vaak op het punt dat je een of andere Ubiquiti DVR achtige oplossing aangeleverd krijgt, waar zij toegang toe hebben, en de bedrijfs-VPN waardoor je bij het portaal kan komen.
Levert het bedrijf niks, én laten ze toe dat je zelf camera's installeert, én voldoe je aan alle wet- en regelgeving? Tsja, dit is dan zo'n use-case waar een bedrijf gaat smijten met "chinese walls". En dan heb je een apart video-net, wat 100% gescheiden is van het bedrijfs-net, en waar je met juist strengere, of minder strenge beveiliging bij die assets kan komen. Alles om het misbruik van data te beperken. In dit geval dat je eigen camera-meuk niet bij bedrijfs-assets kan komen. Zal niet de eerste keer (kuch eufy kuch) zijn dat een of ander camera bedrijf zo lek is als een mandje, of (kuch, dahua, kuch) gewoonweg alles op een Chineze cloud zet. En daar sta je als, hypothetische, ik weet niet wat TS doet, pomphouder die ladingen kentekens inclusief kentekens met "CD" er in naar china exporteert.
[
Voor 17% gewijzigd door
Umbrah op 02-02-2024 13:36
]
/u/615926/crop60fd7652c3b18_cropped.png?f=community)
:strip_icc():strip_exif()/u/55250/crop5bfe6e8b5ddb6_cropped.jpeg?f=community)
/u/175440/crop5b5f0d899a5e8_cropped.png?f=community)
:strip_icc():strip_exif()/u/565926/lynx1.jpg?f=community)
/u/56000/neuken.png?f=community)
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
) beetje dwars en zoek het uiterste op. Ik heb er nog al moeite mee om mijn werk ritme aan te passen 
naar andermans zijn wensen.:strip_icc():strip_exif()/u/20201/clint.jpg?f=community)
:strip_exif()/u/253657/crop6755bf724a347.gif?f=community)
:strip_exif()/u/53157/thai4.gif?f=community)
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}
