Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Microsoft Intune - Sølvpapirshat?Af Maxi Nørd Chucara | 20-03-2019 22:29 | 5282 visninger | 24 svar, hop til seneste
Vi har flyttet mailserver på mit arbejde, og dermed kommet over på en Microsoft Intune løsning. Det betyder, at hvis jeg skal checke min firmamail på min telefon, som jeg også bruger privat, skal jeg MDM enrolle.
Er det bare mig, der er en sølvpapirshat fordi jeg er meget skeptisk overfor hvad vores IT afdeling kan overvåge? Jeg vil rigtigt gerne kunne checke mails om aftenen og se min kalender i løbet af dagen, men jeg kan under ingen omstændigheder acceptere at mit privatliv kan overvåges på nogen som helst måde, hvadenten det er SMS, mail eller lokation.
Er der nogen, der har kendskab til Intune, der kan fortælle hvor omfattende værktøjet er?
På den anden side vil jeg helst slippe for 2 mobiler. --
ASUS Z270 TUF Mk1 | 7700K | GTX 1080TI | 32GB 3000MHz | Fractal Define R5 | Samsung 960 EVO 1TB | PG279Q | 2xU2715H
Det står ret godt beskrevet her:
https://docs.microsoft.com[...]
Har selv været administrator for netop Intune, og der gjorde vi ret meget ud af at beskrive inde i firmaportalen præcis hvad der blev opsnappet af data. Mindes sågar det var et HR-krav. Måske noget tilsvarende findes hos jer? -- Altså, det er selvfølgelig ikke det sjoveste, men har set på egen arbejdspladser, og også min egen, hvor det kan være langt større krav hvis du skal have arbejdsmail på telefonen. -- ~MSI Z77A-GD653|Intel i7-2700k @ 4.2ghz|16GB@1600mhz|Noctua NH-D15|Gigabyte GeForce GTX 980 G1|Intel 520 SSD 240GB|Corsair RM850x|NZXT H440W~ personligt ville jeg ikke godtage det.
hvis det er en noedvendig funktioner for min funktion saa maa arbejdspladsen stille en telefon til raadighed -- Sven Bent - Dr. Diagnostic
www.TechCenter.[...] - Home of Project Mercury Min erfaring er at selv store virksomheder ikke er ret god til at informere om hvad de rent faktisk gør med det data der kan være personlige.
Jeg ville ligesom Sven Bent ikke godtage det. Nok mest fordi jeg ikke ser grund til at bruge tid på arbejde på min private telefon - både af hensyn til privatliv og plads til fritid. -- #6: Korrekt. Det er firmaet, der har betalt telefonen. Det handler slet ikke om økonomien i det, men blot hvad der rent faktisk bliver overvåget, og om jeg så skal have min egen telefon til privaten.
#1: Mit problem er, at som jeg læser det, kommer det meget an på konfigurationen. Vores IT afdeling siger, at hvis jeg bruger en InTune indmeldt telefon's Outlook app til mine egne mails, vil de kunne læse dem.
Ligeledes har jeg læst, at de kan tage screenshots til fjernsupport. Dvs. at de kan overvåge 'alt' der kommer på skærmen.
Jeg vil rigtigt gerne yde den service for min virksomhed, at jeg læser mails derhjemme om aftenen, men ikke på bekostning af overvågning af mit privatliv. -- ASUS Z270 TUF Mk1 | 7700K | GTX 1080TI | 32GB 3000MHz | Fractal Define R5 | Samsung 960 EVO 1TB | PG279Q | 2xU2715H --
Sidst redigeret 21-03-2019 07:33 0#
Til at starte med havde jeg også bare en firma telefon som jeg også brugte privat.
Men efter længere tids overvejelse så købte jeg mig min egen telefon så privat og firma nu er adskilt fuldstændig.
Telefonen lader jeg blive på firmaet når jeg tager hjem og det samme med bærbaren(med mindre jeg har vagt) - så slipper jeg også for at blive forstyrret når jeg har fri!
Udover dét så kan IT afdelingen altid læse dine firma mails med de korrekte rettigheder :-)
/mvh -- IDGAF! --
Sidst redigeret 21-03-2019 07:47 Jeg arbejder for et stort amerikansk firma hvor vi har iphones med vores egne apps som firma telefoner. Jeg har 2 telefoner af flere grunde. Den første er at jeg ikke gider blive ringet op af kolleger og kunder de dage hvor jeg fx holder fri eller holder ferie. Den anden er at det er nemmere for mig at lade arbejde være arbejde når jeg er hjemme, for ofte ligger min firma telefon ude i min jakke og så bliver den først tjekket næste morgen. Den tredjle ting er at jeg ikke ved hvor meget de overvåger os. Når du har et apple enterprise certifikat så kan du bygge apps der kan alt muligt, og så se hele skærmen på din telefon. :) -- http://www.l0rn.nu[...] Så meget jeg læser det link til intune som #1 har sendt, kan jeg ikke helt se hvad de skulle kunne se om dig.
Der står de kan IKKE se
What your organization can never see:
Calling and web browsing history
Email and text messages
Contacts
Calendar
Passwords
Pictures, including what's in the photos app or camera roll
Files
Men det kan være jeg ikke helt forstår hvad tråden er om :D -- #8: Selvfølgelig kan de læse mine firmamails - men de har dog ikke rettigheder til min private outlook.com konto :) Og sådan skal det gerne forblive..
#10: Hvis teksten passer, er jeg som sådan enig. Men vores IT afdeling påstår, at de kan læse alle mails igennem Outlook hvis den er MDM enrolled. Det bekymrer mig mildelst talk at de ikke selv ved, hvad værktøjet kan. -- ASUS Z270 TUF Mk1 | 7700K | GTX 1080TI | 32GB 3000MHz | Fractal Define R5 | Samsung 960 EVO 1TB | PG279Q | 2xU2715H #11 det syntes jeg lyder mystisk, da tollet kun ser de mails som de er konfigurert til, jeg vil ikke være bange hvis jeg var dig, det du kan gøre er når du installere MDM på din telefon, så kan du se hvad de kan, feks kan de remote wipe din telefon osv, hvis den feks bliver stjålet.
På mit arbejde er de mere ekstreme, enroller du en firmabetalt android telefon, så disabler den alle kamerane i din telefon, det er vildt kan jeg fortælle dig. -- https://www.facebook.com[...] De kan ikke læse noget som helst på din telefon, udover de basale ting som IMEI, Model osv.
Arbejder selv som Onsite Supporter hos et stort firma og alle vores telefoner kan man ikke undgå at Intunes MDM Enroll enheden, Da er styret via DEP hos Apple og ligeså snart de kommer på nettet i opsætningsfasen, så bliver der påtrykt et certifikat og Company Portal.
Så du når lige at sætte din enhed færdig op også dukker Company Portal op og man kan ikke komme ud af den uden at enroll firmatelefonen. -- #13 yep de kan ikke læse noget udover det info og så wipe telefonen, eller det kan vi i hvert fald på vores arbejde, så gætter på man også kan med det der. -- https://www.facebook.com[...] Der er noget der bliver udeladt. Er det din arbejdsmail eller en privat, som du gerne vil bruge på arbejdstelefonen?
Fordi under alle omtstændigheder kan man som IT admin. læse mails hos folk via enten Office 365 admin portalen eller via et eventuelt backup system - f.eks. Veeam.
Uanset hvad, har #13 helt ret. Det er ret basale ting man kan se. -- Får nok et spark i bollerne for at sige det, så sorry på forhånd, men så lad vær med at bruge din arbejds mail privat. Det er dumt på alle leder og kanter, og giver problemer med GDPR. Store dele af din bekymring er slet ikke påvirket af MDM-løsningen.
Din arbejdsplads vil rent faktisk også fraråde dig at bruge din mail, eller burde i hvert fald gøre det. Simpelthen fordi det giver problemer med GDPR, da de lige pludselig bliver ansvarlig for opbevaring af data, som slet ikke er deres. Sidder til dagligt og arbejder fra min egen såvel som andres firma e-mails, og GDPR gav anledning til opstramning af brugen af ens "egen" mail.
Personligt kører jeg dual sim på telefonen, og bruger naturligvis aldrig min firma email til private ting. Den er dog ikke indrullet endnu, men bliver det næste gang, jeg skifter telefon. Det vil dog ikke ændre noget i forhold til firma og personlig data.
Det er jo decideret dumt, at få personer og logins koblet op på noget som er arbejds afhængigt. Der bliver jo noget rod, hvis man skal skifte arbejde.
Selv hvis din telefon er rullet ind, så kan du ofte bare lave en Gmail konto eller noget andet. Der er stor forskel på, hvor mange af mulighederne de enkelte firmaer benytter, men de fleste giver enten admin rights til dig eller har de to verdener strengt opdelt, så det er synligt, om det er noget de kan se eller ej. Der er en lille forskel på, om det er Apple DEP'et, Samsung Knox eller om de er helt afhængige af tredjepartsløsninger fra Cisco m.fl., men alle kan adskille personligt og firma regi.
PS. om de kan læse din firma Outlook har ikke (nødvendigvis) så meget med en MDM løsning at gøre. De har de som udgangspunkt altid haft adgang til. Så med og uden indrulning, så har de adgang til din firma email. Så kom igang med at lave en personlig email - dit firma vil sikkert opfordre dig til det i jeres personalehåndbog. -- Mvh. Thomas Christensen. #13-16: Ok, jeg har nok ikke fået formuleret mig helt skarpt nok.
Jeg har to mail konti - en privat- og en arbejdsmail. Lad os kalde dem [email protected] og [email protected]. Min telefon er en Samsung Galaxy S9.
Tidligere brugte jeg Outlook app'en til Android til begge. Men det er to forskellige konti. Jeg bruger ikke min firmamail privat.
Vores IT folk sagde oprindeligt, at man ikke kan bruge Outlook med to konti, når man er MDM enrolled. Det er noget vrøvl. Nu får jeg at vide, at hvis jeg gør det på en MDM enrolled telefon, kan de overvåge min privatmail. Microsoft selv lader til at sige noget andet, og kort fortalt er jeg lidt i tvivl om IT folkene ved hvad platformen rent faktisk kan.
Jeg kan heller ikke gennemskue det. Jeg vil helst være fri for at være MDM enrolled, men kan leve med det hvis:
- IT ikke kan læse mine private mails
- IT ikke kan kan se hvad der vises på mine telefon uden min accept (ala teamviewer)
- IT ikke kan se min lokation uden at jeg får det at vide
Worst case køber jeg en billig telefon og har to, men jeg vil helst slippe for at slæbe rundt på to klodser. -- ASUS Z270 TUF Mk1 | 7700K | GTX 1080TI | 32GB 3000MHz | Fractal Define R5 | Samsung 960 EVO 1TB | PG279Q | 2xU2715H #17
Du kan være helt rolig omkring privatlivet, såfremt du har en privat mail konto. Med Intune kan man kun se de tekniske detaljer som følgende:
- Device model, like Google Pixel
- Device manufacturer, like Microsoft
- Operating system and version, like iOS 12.0.1
- App names, like Microsoft Word: On personal devices, your organization can only see your managed app inventory. On corporate-owned devices, your organization can see all of your app inventory.
- Device owner
- Device name
- Device serial number
- IMEI
https://docs.microsoft.com[...] -- #18: Ok, tak for det. Jeg forstår ikke hvorfor de så siger noget andet. Folk er ikke begejstrede for det i forvejen - og at sige, at de kan læse privat mails gør det kun værre. -- ASUS Z270 TUF Mk1 | 7700K | GTX 1080TI | 32GB 3000MHz | Fractal Define R5 | Samsung 960 EVO 1TB | PG279Q | 2xU2715H #17
Ja det var lidt bedre :)
MDM-løsninger er et udrulnings, styrings og rettighedsværktøj, ikke et overvågningsværktøj.
Det har to primære opgaver, 1 at gøre udrulningen og styringen af telefonen automatisk og 2. at lægge noget sikkerhed ind på firmaets data - dvs. separering af firma og privatdata og lave politikker for brug af data/app x, y og z. Lidt ligesom du kender det fra firmaets PC'er, hvor du ikke har admin rights.
Nu er jeg ikke praktisk IT-gut, som sætter det op, så det kan være jeg kommer på dybt vand her. Men så vidt jeg ved, så er Intune blot værktøjet til at hoste det man i klassisk forstand vil kalde et image - vel og mærke i samspil med f.eks. Apple Business Manager (tidligere Device Enrollment Program).
Men lad os sige, at i bruger iPhones (Apple ejer mere eller mindre det MDM-styrede smartphone erhvervsmarked), og benytter deres værktøj til at sætte det op, så kan de adskille privat og firma data meget bedre end hvad der fremgår i ovenstående liste. I hvert fald som det står i #10 + #17. Har ikke praktisk erfaring med hverken Intune eller Apple's Business Manager, men det kan så meget mere end der står i ovenstående liste. Så må folk med hands on lige tippe ind og forklare mere om samspillet.
Mig bekendt kan de også tracke sim-kortets lokation ligesom du selv kan via find my iPhone. Det giver jo rigtig god mening i forbindelse med mistanke om tyveri.
Helt grundlæggende så gør IT det for at spare penge (tid) og samtidig bedre sikkerhed for egne firmadata. Så væk med sølvpapirshatten. De kan se ligeså meget som de altid har kunne, så du kan være tryg nok. -- Mvh. Thomas Christensen. #16
Jeg er helt enig
Bruger aldrig min arbejds email til andet end arbejde
Der skal ikke blandes privatlivs og arbejdslivs sammen i en paervaelling.
-- Sven Bent - Dr. Diagnostic
www.TechCenter.[...] - Home of Project Mercury De indførte det også på min arbejdsplads. Det skal dog siges jeg ikke har firma telefon. Jeg har ikke installeret det for de skal ikke læse med i noget som ikke er arbejds relateret. Jeg har bare et link til Office 365 i min browser hvor jeg kan se det. Så ligger der ikke noget lokalt på telefonen. -- PC: i5 3450 @ 3.10GHz - 16,0GB DDR3 - ASRock H77 Pro4/MVP - GTX 1060 - Evo 850 250 gb
Server: IBM x3500 - 2x xeon 2620 - 64gb ram - 20 tb sas diske. #22
Det kan man slet ikke hos os. Der kræver de som minimum at du har dit personlige certificat installleret. -- http://www.l0rn.nu[...] Zwei telefonen junge! Hop over den convenience barriere og beskyt dit privatliv bedre, adskil det. -- #22 + #23 det har jo intet med MDM-løsninger at gøre.
Det er jo blot et sikkerhedscertifikat, som Outlook klienten skal have. Det har jeg også på min telefon for at kunne åbne Outllook. Om du åbner i app'en på telefonen eller åbner et link via Outlook.com, så er det jo stadig en arbejdsmail, og dermed noget din arbejdsgiver har adgang til.
MDM eller ej og certifikat eller ej. Er mailen personlig, så forbliver den personlig. Er den firma styret, så forbliver den det. MDM har bare mulighed for at adskille dem fra et sikkerhedssynpunkt, så data ikke kan krydses data imellem de to. -- Mvh. Thomas Christensen.
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 425 personer har stemt - Mit energiselskab (Ewii f.eks) 12%
|