Nutzung von privaten Mobilgeräten

Die auf dieser Seite beschriebenen Verwaltungsmethoden sind seit dem 31.08.2021 verfügbar und ersetzen die bisherigen Verwaltungsmethoden.

Möchten Sie Microsoft 365 der UZH (UZH365) oder Komponenten davon, wie z.B. Teams, auf Ihrem Mobilgerät nutzen, müssen für den datenschutzkonformen Einsatz zusätzliche Sicherheitsanforderungen eingehalten werden. So müssen beispielsweise die UZH-Daten über ein Passwort oder einen Code gesichert werden, damit die Daten beim Verlust des Gerätes nicht frei zugänglich sind.

Bei der Nutzung von privaten Geräten, dem so genannten "Bring Your Own Device (BYOD)", ist der Schutz der Privatsphäre der Nutzenden ein sehr wichtiger zusätzlicher Aspekt.

Microsoft bietet hierfür die Möglichkeit die Sicherheitseinstellungen direkt in den jeweiligen Microsoft 365 Apps zu verwalten, so dass keinerlei Zugriff auf die Einstellungen der Geräte oder andere Apps notwendig ist.

Auswahl der Verwaltungsmethode

Benutzende können aus folgenden Methoden auswählen:

Verwaltungsmethoden BYOD

Verwaltung von Apps

  • Sicherheitseinstellungen gelten nur innerhalb der UZH365 Apps (z.B. Passworteingabe beim Starten einer App).
  • Die Nutzung der UZH365 Dienste mit anderen Apps (z.B. andere E-Mails und Kalender-Apps) ist nicht möglich.

Verwaltung von Arbeitsprofilen

(nur Android)

  • Funktioniert analog zu der Verwaltung von Apps, zusätzlich werden die UZH365 Apps optisch und logisch von privaten Apps separiert. Arbeitsprofile können von den Benutzenden manuell deaktiviert werden, um alle UZH365 Apps und Benachrichtigungen vorübergehend auszuschalten.

Verwaltung von Geräten

(nur iOS/iPad-OS)

  • Diese Methode basiert auf der Verwaltung der Sicherheitseinstellungen der Geräte (z.B. Geräte-Passwort) und ermöglicht eine Nutzung der UZH365-Dienste mit anderen Apps (z.B. andere E-Mails und Kalender-Apps).
  • Diese Methode ist für private Geräte nicht empfohlen, da die UZH Administratoren zusätzliche Informationen und Berechtigungen der Privatgeräte erhalten. Ein direkter Zugriff auf die auf den Geräten gespeicherten Daten oder die Verbindungsdaten der Benutzenden durch die UZH Administratoren ist jedoch zu keiner Zeit möglich. 
Nutzung ohne Verwaltung Wenn ein Gerät die Sicherheitsanforderungen nicht erfüllt, oder ein Benutzer keine der oben genannten Verwaltungsmethoden nutzen möchte, ist der Zugriff auf UZH365 Daten über die Microsoft Apps nicht möglich. In diesem Fall können eingeschränkte Funktionen über den Browser des Gerätes (https://portal.office.com) genutzt werden.

Welche Sicherheitseinstellungen werden geprüft?

  1. Passwort: Die UZH365 Daten müssen mittels Passwort geschützt sein.
    1. Das Passwort darf nicht zu einfach sein (z.B. aufsteigende Zahlen) und muss mindestens 6 Zeichen lang sein.
    2. Nach 10 fehlerhaften Passworteingaben müssen die UZH365 Daten bzw. das Gerät gelöscht werden (Gerät nur bei der Verwaltung von Geräten).
    3. Bei Inaktivität müssen die UZH365 Apps bzw. das Gerät nach 5 Minuten gesperrt werden (Passworteingabe notwendig).
  2. Daten:
    1. Die UZH365 Daten müssen verschlüsselt gespeichert werden, so dass andere Apps nicht zugreifen können.
    2. Beim Geräteverlust oder Austritt aus der UZH müssen die UZH365 Daten durch die UZH gelöscht werden können.
    3. Die Zentrale Informatik hält sich das Recht vor, die Nutzung der UZH365 Dienste bei Missbrauch oder aus Sicherheitsgründen zu sperren und die UZH365 Daten zu löschen.
  3. Gerätesicherheit:
    1. Es muss Original-Software des Herstellers verwendet werden (keine gehackte Version mit Jail-Break oder Root-Zugriff).
    2. Betriebssystemversionen müssen aktuell sein, d.h. sie müssen noch offiziell von Apple und Google unterstützt werden.
    3. Microsoft bietet die Microsoft 365 Apps über die offiziellen Portale von Android, iOS und Windows an (Google Play Store, App-Store und Windows-Store). Ggf. ist die Installation der Apps aufgrund von veralteter Hard- oder Software nicht möglich.

Wie funktioniert die Installation / Deinstallation?

Verwaltungsmethoden BYOD

Verwaltung von Apps

Bei der Anmeldung eines UZH365 Kontos in einer Microsoft 365 App wird automatisch die Verwaltung der App aktiviert. Für die Synchronisation der Sicherheitseinstellungen wird eine zusätzliche Anmeldung in der "Intune Unternehmensportal" App benötigt. Diese Anmeldung wird auch für das Single-Sign-On der UZH365 Apps verwendet, d.h. beim Wechseln zwischen den Apps muss kein Passwort eingegeben werden, ausser nach Inaktivität.

Eine Registrierung der Geräte ist nicht notwendig, dies würde die Verwaltung von Arbeitsprofilen oder Geräten aktivieren. Wenn die Benutzenden oder ein UZH Administrator die Abmeldung des UZH365 Kontos durchführt, kann nicht mehr auf die Daten der UZH365 Apps zugegriffen werden.

Verwaltung von Arbeitsprofilen oder Geräten

Nach der Installation der Unternehmensportal App aus dem entsprechenden Store und der Anmeldung mit einem UZH365 Konto kann ein Gerät "registriert" werden. Benutzende können mit dieser Registrierung selbständig ein Arbeitsprofil für Android Geräte bzw. die Geräteverwaltung für iOS/iPad-OS Geräte aktivieren.

Das Geräte- bzw. Arbeitsprofil enthält neben den Sicherheitseinstellungen auch die Kontoinformationen und erlaubt den Zugriff auf UZH365 Daten mit den Microsoft 365 Applikationen (z.B. OneDrive, OneNote, Word, Excel, PowerPoint). Wenn das Profil durch den Benutzer oder den UZH Administrator entfernt wird, werden automatisch alle UZH365 Daten und Kontoinformationen von dem Gerät gelöscht oder die Verwaltung von Apps reaktiviert.

Umstellung der Verwaltungsmethode auf "Verwaltung von Apps"

Store-Konten (iCloud, Google Play,...)

Bitte verwenden Sie für die Registrierung ihrer Store-Konten keine UZH E-Mailadresse, da Sie bei einem Austritt aus der UZH so nicht mehr auf gekaufte Inhalte wie Apps und Musik oder Ihre Backups zugreifen könnten.

Backup der Mobilgeräte

Es wird dringend empfohlen, regelmässig Backups von den Mobilgeräten zu erstellen. Geräte-Backups enthalten keine UZH365 Daten, diese werden jedoch innerhalb von Microsoft 365 gesichert. Die Zentrale Informatik bietet keinen Support für die Wiederherstellung von privaten Daten, bitte wenden Sie sich hierfür an den jeweiligen Hersteller-Support.

Verwaltungsfunktionen – Möglichkeiten von UZH Administratoren

  1. Selektives Löschen – Retire (bei allen Verwaltungsmethoden):
    Durch das Löschen des Verwaltungsprofils (Geräte- oder Arbeitsprofil) können alle UZH365 Daten und Kontoinformationen von dem Gerät gelöscht werden, ohne andere Daten auf dem Gerät zu verändern. Die Löschung kann manuell durch den Benutzer in den Geräteeinstellungen vorgenommen werden. Alternativ kann der Benutzer dies über das Microsoft 365 Portal oder die Unternehmensportal App (auch von einem anderen Gerät aus) durchführen. Neben diesem Self-Service besteht auch die Möglichkeit, die Löschung durch einen Administrator ausführen zu lassen, z.B. falls der Benutzer keinen Zugang zu den genannten Self-Service Optionen hat.
  2. Auf Fabrikzustand zurücksetzen – Wipe (nur bei Verwaltung von Geräten):
    Analog zum selektiven Löschen kann ein Gerät auch komplett gelöscht werden. Dies macht vor allem bei Verlust des Gerätes oder Diebstahl Sinn, da so auch private Daten auf dem Gerät gelöscht werden. Diese Funktion ist nur bei der Verwaltung von Geräten verfügbar.
  3. Ortung des Gerätes (nur bei Verwaltung von Geräten):
    Über das Microsoft 365 Portal kann der Standort des Gerätes durch den Benutzer (Self-Service) oder einen Administrator ermittelt werden. Neben dem reinen Auffinden eines Gerätes kann diese Information auch für Sicherheitsregeln verwendet werden. So ist es z.B. möglich, den Zugriff aus bestimmten Ländern zu sperren. 
  4. Sicherheitseinstellungen:
    Solange ein Verwaltungsprofil (Geräte- oder Arbeitsprofil) auf dem Gerät installiert ist, wird die Einhaltung der oben beschriebenen Sicherheitseinstellungen vom Gerät selbst sichergestellt. Wenn das Profil entfernt wird, werden die UZH365 Daten gelöscht und das Gerät ist nicht mehr verwaltet. Bei erneuter Verwendung von UZH365 Apps wird automatisch die Verwaltung von Apps aktiviert.
  5. Gerätedaten
    Der Administrator kann (nur bei Verwaltung von Geräten):
    *) Wir verwenden Microsoft Intune für die Verwaltung von Mobilgeräten und die gekennzeichneten Funktionen sind für private Mobilgeräte nicht verfügbar. D.h. für die Nutzung dieser Funktionen muss ein Gerät speziell konfiguriert werden (siehe Pilot: Nutzung von UZH-eigenen Mobilgeräten).
    • Modell, Seriennummer und Betriebssystem anzeigen
    • Ihr Gerät anhand des Namens identifizieren
    • Verlorene oder gestohlene Geräte auf Werkseinstellungen zurücksetzen (nur auf ausdrückliche Anweisung des Benutzers)
    • Apps anzeigen, die Sie installiert haben *(auf Privatgeräten sind nur Verwaltete Apps und Apps innerhalb von Arbeitsprofilen sichtbar)
    • Telefonnummer Ihres Geräts anzeigen*
    • Von Unternehmens-Apps und -Netzwerken gesammelte Informationen anzeigen*
    • Standort eines verlorenen Gerätes anzeigen*
    Der Administrator kann nicht (bei allen Verwaltungsmethoden):
    • Den Browserverlauf auf Ihrem Gerät anzeigen
    • Persönliche E-Mails, Dokumente, Kontakte oder Kalender anzeigen
    • Daten von anderen Apps anzeigen
    • Auf Ihre Kennwörter zugreifen
    • Ihre Fotos anzeigen, bearbeiten oder löschen
    Weiterführende Informationen
    Weitere Informationen zu den Möglichkeiten der eingesetzten Verwaltungslösung finden Sie unter folgendem Link:
    Microsoft Intune ist ein MDM- und MAM-Anbieter für Ihre Geräte
  6. Hardware-Schutz
    UZH-eigene Geräte können über Apple DEP oder Android Zero-Touch zusätzlich geschützt werden. Hierbei werden die Geräte fest mit der Verwaltungslösung der UZH verbunden. Dadurch können Geräte ohne Vorkonfiguration an Benutzende ausgegeben werden und die Verwaltung der Geräte von den Benutzenden nicht deaktiviert werden.

 

Verwaltungsmethoden für UZH-eigene Geräte
Nutzung von UZH-eigenen Mobilgeräten

Weitere Informationen zu den Möglichkeiten der eingesetzten Verwaltungslösung:
Microsoft Intune ist ein MDM- und MAM-Anbieter für Ihre Geräte

Informationen zu Intune Unternehmensportal (MDM):
https://docs.microsoft.com/de-ch/mem/intune/user-help/use-managed-devices-to-get-work-done

Self Service Portal zum verwalten der persönlichen Geräte:
https://portal.manage.microsoft.com/devices