iPhone und Intune

[der-junge]

Hallo, habe vor 2 Wochen ein Dienst-iPhone bekommen auf welchem Intune läuft. Da mein privates iPhone die Tage leider kaputt gegangen ist, überlege ich das Diensthandy auch einfach privat zu nutzen, vom Arbeitgeber her wäre das wohl erlaubt.

Ich würde meine Private Nummer per eSim nutzen und im Zweifel einfach die neue Apple ID von meiner Firmenmail, auf die habe ja nur ich Zugriff.
In der Intune App steht unter Gerät->Besitz "persönlich", soweit ich das verstanden habe ist das schonmal gut, so hat die Firma fast garkeine Zugriffsrechte. Eigentlich habe ich das Diensthandy auch nur um unterwegs auf Teams und Mail zugreifen zu können.

Nun die Frage, da ich auf meinem privaten iPhone Banking, Aktien und viele andere Dinge mache, was davon kann die Firma evtl sehen? Durch die Einstellung "persönlich" soweit ich das recherchiert habe nichts oder? Gibt es evtl eine Funktion womit die live mein Display sehen können oder evtl einfach Screenshots machen könnten? Wenn ich die MS Doku dazu richtig verstanden habe, ist die private Ntzung aus Datenschutzsicht kein Problem, da die Firma nur die von der Firma installierten Apps sieht und sonst nichts. Wo sehe ich den überhaupt welche Apps das wären?

Hat jemand evtl. ein Bischen Erfahrung mit dem Thema? Prinzipiell finde ich es auch blöd im zweifel mit 2 Handys rumzurennen.

 

[rg88]

vom Arbeitgeber her wäre das wohl erlaubt.

Alle Fragen die du hier gestellt hast, klären sich eigentlich, wenn du einfach nachfragst, ob die private Nutzung erlaubt ist mit eigener Sim-Karte. Zudem muss dir der Arbeitgeber Auskunft geben, wenn er Daten von dir erhebt.

Aber ich gehe nicht davon aus, dass das Gerät über die Firma verwaltet wird, wie ich das lese. Im Zweifel aber immer: abklären und Abmahnung vermeiden

 

[der-junge]

es ist ja erlaubt, so hat es mir der Kollege bei der Übergabe gesagt. Es wurde eben diese Intune App installiert und dann ein paar Zertifikate glaube für Firmen Wlan und son Zeug.
Das die mich informieren müssen wenn Daten erhoben werden ist mir schon klar, darum gehts mir nicht, sondern darum was die Software evtl. hergibt, was ein Admin tun kann ohne das es jemand mitbekommt.

 

[benjiman]

sondern darum was die Software evtl. hergibt, was ein Admin tun kann ohne das es jemand mitbekommt.

Das kann man so nicht beantworten. Intune ist eine Device Management Platform und da gibts viele Moeglichkeiten. Beispielweise kann man iOS Devices sperren, orten und wipen sofern diese auch ueber Apple DEP enrolled sind. Das ist aber kein muss.

Auch koennen diverse Compliance/Security Policies ausgerollt sein, muessen aber nicht. Es obliegt auch dem Admin welche Apps ggf. mitinstalliert werden. Theoretisch kann auch der Apple Store auf einem solchen Device eingeschraenkt sein (z.B. WhatsApp wird geblockt).

Du siehst, es ist viel moeglich aber nichts muss. Frag am Besten deinen Arbeitgeber.

 

[Frightener]

Wenn das Gerät Intune-verwaltet ist, hat das Unternehmen weitreichende Möglichkeiten, das Gerät zu verwalten. Daß das Gerät als 'persönlich' gelabelt ist, ist eine rein kosmetische Einstellung und schrämkt die Verwaltungsmöglichkeiten in keinster Weise ein. Ich wüßte allerdings keine Möglichkeit, irgendwie den Bildschirm zu überwachen. Man kann allerdings sehen, welche Apps installiert sind.
Hier sind zwei Screenshots von den Möglichkeiten.

 

[der-junge]

und genau dazu schreibt Microsoft das, folgendes kann von Ihrer Organisation eingesehen werden:

App-Bestand und App-Namen, z.B. „Microsoft Word“. Auf persönlichen Geräten kann Ihre Organisation nur sehen, welche verwalteten Apps installiert sind. Bei unternehmenseigenen und vollständig verwalteten Geräten sowie bei dedizierten Geräten kann Ihre Organisation alle installierten Apps anzeigen. Bei unternehmenseigenen Geräte mit einem Arbeitsprofil kann Ihre Organisation nur die in Ihrem Arbeitsprofil installierten Apps anzeigen.

Das habe ich so gedeutet als sein mein gerät persönlich und die Firma kann eben fast garnichts sehen

 

[Frightener]

Das hat sich offenbar wirklich geändert. Früher konnte ich die "Device Ownership" ändern, ohne daß es Auswirkungen gab. Wenn ich dies jetzt bei meinem Gerät ändere, erhalte ich folgende Meldung:

Intune currently collects the phone number, app inventory, and UDID of this corporate-owned device. Intune also allows for this device to be remotely renamed. If you change its ownership, the phone number, app inventory data, and UDID will no longer be reported in the device Hardware section of Intune. You will also not be able to remotely rename this device again. After you make this change, the user of this device will be notified of the ownership change.

 

[Gizzmow]

In deinem Fall würde ich einfach nett bei der IT nachfragen was sie denn genau sehen und machen können mit den Telefonen. Daraufhin kannst du ja selbst entscheiden ob du dein privates Zeug mit dem Diensthandy machen möchtest.

Ich würde persönlich lieber privates von geschäftlichem trennen, da hat man einfach weniger trouble und hat 100%ig selbst die Hoheit über sein Gerät + Daten (Fotos etc.).

 

[Frightener]

Ich habe ein dienstliches Gerät, habe allerdings auch Zugang zu Intune. Deshalb weiß ich, was das Unternehmen sieht und machen kann, und habe damit keine Probleme. Das ist mir allemal lieber, als zwei Geräte rumzuschleppen.

 

[Forlorn]

Dazu muss es eigentlich eine betriebliche Vereinbarung geben. Da muss Zugriff, Rechte und Datenschutz erklärt und gegengekennzeichnet sein. Die Regelung in meiner Firma ist gut diesbezüglich, aber ich nehme allerdings seit Jahren lieber zwei Geräte. Im Urlaub will ich einfach nicht von einem beliebigen Kollegen angerufen werden oder nicht doch anfangen, Mails usw abzuarbeiten.

 

[Frightener]

Eine betriebliche Vereinbarung ändert aber nichts an den technischen Möglichkeiten
Ich entferne im Urlaub einfach das betriebliche Postfach und melde mich von Teams ab. So komme ich nicht in Versuchung. Wenn ich öfters angerufen werden würde, würde ich das auch anders handhaben. Wir kommunizieren zum Glück mittlerweile fast ausschließlich über Teams.

 

[Forlorn]

Eine betriebliche Vereinbarung ändert aber nichts an den technischen Möglichkeiten

Dazu gibt es aber Datenschutzbeauftragten (muss jede Firma ggf extern haben) und deren Einhaltung wird auch bei Audits geprüft.

 

[conspectumortis]

Ich würde 2 Dinge machen:

1.) Erstens 100% sicher gehen, ob du es privat nutzen darfst (nie nach mündlichen Aussagen gehen). Es muss im Arbeitsvertrag stehen, und/oder in einem extra Wisch den du unterschrieben hast. Bei uns steht es bezüglich den Endgeräten die vom Arbeitgeber gestellt werden explizit im Arbeitsvertrag + noch ein zusätzlicher Wisch wo und wie wir etwas nutzen dürfen. (Datenschutz und so ein Kram)

2.) Wenn du diesen Wisch, den du unterschrieben hast, gefunden hast und du 100% sicher bist, gehst du zu deiner IT-Abteilung / Security Menschen, die dafür zuständig ist und fragst einfach nach und fertig.
Darfst du es nicht privat nutzen, kannst du in Teufels Küche kommen. Also richtig in Teufels Küche.