Bring your own device ... aber welches

Bei uns im Unternehmen gibt es „schon immer“ BYOD, aber mit der Einschränkung, dass es kein chinesischer Hersteller sein darf (per IMEI). Da ich in letzter Zeit immer OnePlus Smartphones mit LineageOS hatte, war mir das nicht möglich. Da durch Corona kaum noch Geschäftsreisen anstanden hatte ich mein altes Firmenhandy einfach auslaufen lassen und jetzt 2 Jahre lang einfach keins.

Jetzt wo die Geschäftsreisen wieder zunehmen drückt der Schuh.

Problem:

  • ich will mir selber eigentlich kein Handy „nur für die Arbeit“ kaufen.
  • Mein Arbeitgeber bietet neben iPhones nur Samsung-Geräte …
  • wir nutzen Microsoft Intune und muss somit einen unbekannten Level beim SaftyNet erreichen

Daher bin ich am Überlegen wie ich das irgendwie datensparsam und vielleicht sogar mit nur einem Gerät hinbekommen könnte.

Einfachste Lösung wäre wahrscheinlich ein Pixel 6a oder aufwärts, aber eigentlich ist mir das zu teuer …
Ich hatte jetzt die Idee auf meinem Server (Proxmox) oder einem meiner Pis Android zu installieren und dann dort remote darauf zuzugreifen. Kann dazu aber nur gefrickel mit Android x86 finden und nicht beurteilen was für eine/ob das Gerät eine IMEI hat?

Hat jemand sowas schon am laufen und wenn ja wie, mit was … Oder irgendwelche anderen Ideen?

Ich würde ein Handy, das ich beruflich nutze weder privat kaufen noch verwenden. Bei mir bleiben diese beiden Welten strikt getrennt.

Mein Arbeitgeber bietet iPhones und Samsung-Geräte an, alle per Intune gemanaget. Das funktioniert gut, ich muss mir keine Gedanken über die Arbeitsmittel machen. Lediglich Updates von iOS installiere ich aktiv.

5 „Gefällt mir“

Lass dir ein Samsung geben, und installier geignete Apps für „privates“, z.B.:
Netguard
Simple mobile Tools für Kontakte usw.
Signal, Telegram, Threema, DeltaChat.
K9
Mull Browser
etc.

Was ich nicht möchte ist ein Samsung oder iPhone. Daher auch die oben beschriebenen Überlegungen. Wenn es da nix in die Richtung gibt, dann bleib ich lieber ohne mobilen Zugriff auf Unternehmensmail etc.

Tatsächlich würde mir z.B. reichen zu wissen, dass ein Termin ist oder eine Mail reinkommt, aber das geht leider nicht mit unseren Vorgaben zusammen (wäre ka theoretisch mit PowerAutomate möglich)

Läßt sich mit Intune zentral steuern, welche Apps (auch solche, die nicht von MS sind) installiert werden dürfen? Und läßt sich damit eine Trennung in private und geschäftliche Nutzung durchführen)?

Zur Frage: BYOD meint übrigens auch SW (oder allgemein ‚IT-Systeme‘). Datenschutzrechtlich dürfte der Arbeitgeber ziemlich schnell ein Problem haben.

Was spricht denn genau gegen ein Samsung Gerät? Geht es dabei eher um die Geräte/Firma oder um das Betriebssystem?

Möglicherweise kann auch ein Samsung Gerät oder ein älteres Pixel mit einer Custom Rom einer aktuellen Android Version von Intunes als compliant bewertet werden.

Meiner Erfahrung nach wird in Android ein eigener Firmenbereich geschaffen, welcher Datentechnisch vom Rest des Systems getrennt ist.
Das Unternehmen hat dabei lediglich Zugriff auf den Geschäftlichen Bereich, kann diesen zum Beispiel löschen ohne dabei die Daten des Restlichen Systems anzutasten.

Bei iOS sieht das ganze wieder ein wenig anders aus.

Und wie sieht’s bei iOS aus (so ganz grob, wenn’s nicht zu kompliziert darzustellen ist) ?

Im Grunde genommen werden auch hier getrennte Daten vorgehalten. Jedoch ist die Trennung nach mein dafürhalten weniger strikt.

Statt einen komplett eigenen Bereich zu haben werden Firmenapps lediglich als zusätzliche Apps zwischen bestehende Apps installiert.

Hin und wieder gab es bei uns nicht reproduzierbare fehler, zum Beispiel wurden Firmenkalender in der Kalenderapp des iPhones angezeigt obwohl sie nur in der Firmen Outlook App hätten erscheinen sollen.

Im kurzen: Android hat einen eigenen Bereich wo nur Firmen Apps und Firmen-Daten auf dem Handy liegen

iOS: installiert einfach zusätzlich zu bestehenden Apps firmenapps auf dem Gerät.

Über intunes kann man sogar ganze iPhones zurücksetzen oder nur die Firmenapps entfernen.

Bei den Androids nur den Firmenbereich vom Handy löschen.

Wie schon @anon19851787 schrieb sollte man berufliches und privates trennen, zudem erlauben auch nicht alle Firmen, dass berufliche Handys privat genutzt werden und man seine eigene Apps installiert.

Genau diesem Zweck diente mein Vorschlag. Das geht auch mit einem Gerät.

Dazu sollte aber das Einverständnis des AG vorliegen, dann ist das OK. Und selbst dann sollte man sich als Arbeitnehmer gut überlegen, ob man das möchte, denn das fängt bei der Frage nach den Kosten für Telefonate an bzw. die Frage ob ich zwei Rufnummer habe, geht über die Frage ob ich auch beruflichen und privaten Traffic trennen kann (bei uns ist standardmässig der VPN zur Firma aktiv), über „Welches Konto nehme ich für den App-Store / Play Store?“, etc.

Wenn man all das sauber trennen kann, dann wäre das eventuell eine Überlegung wert. Meine Erfahrung hat mir aber gezeigt, dass das nicht geht. Wir sind von Workspace One nun bei MS Business Portal gelandet (es ist erschreckend, dass praktisch nur noch auf Redmond gesetzt wird). Der Traffic geht über den VPN der Firma und wie man da seinen privaten Traffic nun umleiten können soll kann ich nicht sehen, lass mich aber gerne eines besseren belehren. Programme sollen über das MS Business Portal installiert werden, aber der Nutzer kann weiterhin am Business Portal vorbei Programme installieren, was mir als CISO und/oder Admin Kopfschmerzen bereiten würde. Auf Android ist die Trennung u.a. was den Zugriff auf die Kontakte betrifft wohl besser implementiert, unter iOS ist das meiner Erfahung nach löchrig und da würde ich keine privaten Daten haben wollen.

@nr845h

Heisst das, dass BYOD Pflich ist? Wohl eher nicht? Ich würde mir an deiner Stelle ein Standard Handy vom AG geben lassen und dieses soweit möglich über die Konfiguration beschränken, nur anschalten wenn ich es brauche und fertig. Ich würde ein iPhone statt eines Android nehmen, weil die Versorgung mit Updates über mehrere Jahre erfolgt und weil man keine Bloatware vom Mobilfunkbetreiber hat, die man eventuell nicht entfernen kann.

1 „Gefällt mir“