Nutzung von UZH-eigenen Mobilgeräten

Die auf dieser Seite beschriebenen Verwaltungsmethoden sind seit dem 31.08.2021 verfügbar und ersetzen die bisherigen Verwaltungsmethoden.

Verwaltungsmethoden für UZH-eigene Geräte

Ergänzend zu den Verwaltungsmethoden für Privatgeräte ( Nutzung von privaten Mobilgeräten) können UZH-eigene Geräte für spezielle Einsatzbereiche oder den Schutz der Hardware registriert bzw. konfiguriert werden. 

Auswahl der Verwaltungsmethode

IT-Verantwortliche können aus folgenden Methoden auswählen: 

Verwaltungsmethoden COD

Hardware-Schutz

Registrierung der Geräte bei Apple DEP oder Android Zero-Touch für die automatische Koppelung der Geräte an die UZH Verwaltungslösung, so dass die Geräte ohne Vorkonfiguration an die Benutzenden übergeben werden können und die Koppelung der Geräte nur durch Administratoren aufgehoben werden kann.

Verwaltung von Geräten mit persönlichen Profilen

(nur Android)

Funktioniert analog zu der Verwaltung von Geräten, zusätzlich werden die private Apps optisch und logisch durch persönliche Profile separiert. Die Inhalte der persönlichen Profile sind für UZH Administratoren nicht einsehrbar.

Kiosk-Modus für Tablets

(nur Android)

Diese Methode ermöglicht die Einschränkung der Nutzung von Tablets auf eine einzelne App oder Webseite.  

Kiosk-Modus für Smart-TVs

(nur Android)

Diese Methode ermöglicht die Einschränkung der Nutzung von Tablets auf eine einzelne App oder Webseite.  

Welche Sicherheitseinstellungen werden geprüft?

Grundsätzlich gelten die selben Sicherheitseinstellungen wie bei der Nutzung von Privaten Mobilgeräten.

  1. Passwort: Die UZH365 Daten müssen mittels Passwort geschützt sein.
    1. Das Passwort darf nicht zu einfach sein (z.B. aufsteigende Zahlen) und muss mindestens 6 Zeichen lang sein.
    2. Nach 10 fehlerhaften Passworteingaben müssen die UZH365 Daten bzw. das Gerät gelöscht werden.
    3. Bei Inaktivität müssen die UZH365 Daten bzw. das Gerät nach 5 Minuten gesperrt werden (Passworteingabe notwendig).
  2. Daten:
    1. Die UZH365 Daten müssen verschlüsselt gespeichert werden, so dass andere Apps nicht zugreifen können.
    2. Beim Geräteverlust oder Austritt aus der UZH müssen die UZH365 Daten durch die UZH gelöscht werden können.
  3. Gerätesicherheit:
    1. Es muss Original-Software des Herstellers verwendet werden (keine gehackte Version mit Jail-Break oder Root-Zugriff).
    2. Betriebssystemversionen müssen aktuell sein, d.h. sie müssen noch offiziell von Apple und Google unterstützt werden.
    3. Microsoft bietet die Microsoft 365 Apps über die offiziellen Portale von Android, iOS und Windows an (Google Play Store, App-Store und Windows-Store). Ggf. ist die Installation der Apps aufgrund von veralteter Hard- oder Software nicht möglich.
  4. Im Kiosk-Modus sind Ausnahmen möglich.

Wie funktioniert die Installation / Deinstallation?

Hardware-Schutz

IT-Verantwortliche können die Registrierung der Geräte für Apple DEP oder Android Zero-Touch via Ticket beauftragen. Für den vollständigen Schutz von bestehenden Geräten ist ein Reset der Geräte notwendig. 

Verwaltung von Geräten mit persönlichen Profilen

(nur Android)

Bei der Neuinstallation von Geräten wird die Verwaltung mittels QR-Code aktiviert. Für bestehende Geräte ist ein Reset notwendig.

Kiosk-Modus für Tablets

(nur Android)

Bei dieser Methode muss für jeden Einsatzzweck ein spezifische Policy definiert werden. Diese kann dann abhängig von den Einstellungen über verschiedene Methoden aktiviert werden.

Kiosk-Modus für Smart-TVs

(nur Android)

Bei dieser Methode muss für jeden Einsatzzweck ein spezifische Policy definiert werden. Diese kann dann abhängig von den Einstellungen über verschiedene Methoden aktiviert werden.

Store-Konten (iCloud, Google Play,...)

Bei der Nutzung von UZH-eigenen Geräten ist die Verwendung ohne persönliche Store-Konten möglich. Für den Erwerb von zusätzlichen Inhalten wird jedoch immer die Verwendung von privaten Store-Konten empfohlen, welche nicht auf eine UZH E-Mailadresse lauten, da die Benutzenden bei einem Austritt aus der UZH sonst nicht mehr auf gekaufte Inhalte wie Apps und Musik oder Ihre Backups zugreifen könnten.

Backup der Mobilgeräte

Es wird dringend empfohlen, regelmässig Backups von den Mobilgeräten zu erstellen. Geräte-Backups enthalten keine UZH365 Daten, diese werden jedoch innerhalb von Microsoft 365 gesichert. Die Zentrale Informatik bietet keinen Support für die Wiederherstellung von privaten Daten, bitte wenden Sie sich hierfür an den jeweiligen Hersteller-Support.

Verwaltungsfunktionen – Möglichkeiten von UZH Administratoren

  1. Selektives Löschen – Retire (bei allen Verwaltungsmethoden):
    Durch das Löschen des Verwaltungsprofils (Geräte- oder Arbeitsprofil) können alle UZH365 Daten und Kontoinformationen von dem Gerät gelöscht werden, ohne andere Daten auf dem Gerät zu verändern. Die Löschung kann manuell durch den Benutzer in den Geräteeinstellungen vorgenommen werden. Alternativ kann der Benutzer dies über das Microsoft 365 Portal oder die Unternehmensportal App (auch von einem anderen Gerät aus) durchführen. Neben diesem Self-Service besteht auch die Möglichkeit, die Löschung durch einen Administrator ausführen zu lassen, z.B. falls der Benutzer keinen Zugang zu den genannten Self-Service Optionen hat.
  2. Auf Fabrikzustand zurücksetzen – Wipe (nur bei Verwaltung von Geräten):
    Analog zum selektiven Löschen kann ein Gerät auch komplett gelöscht werden. Dies macht vor allem bei Verlust des Gerätes oder Diebstahl Sinn, da so auch private Daten auf dem Gerät gelöscht werden. Diese Funktion ist nur bei der Verwaltung von Geräten verfügbar.
  3. Ortung des Gerätes (nur bei Verwaltung von Geräten):
    Über das Microsoft 365 Portal kann der Standort des Gerätes durch den Benutzer (Self-Service) oder einen Administrator ermittelt werden. Neben dem reinen Auffinden eines Gerätes kann diese Information auch für Sicherheitsregeln verwendet werden. So ist es z.B. möglich, den Zugriff aus bestimmten Ländern zu sperren. 
  4. Sicherheitseinstellungen:
    Solange ein Verwaltungsprofil (Geräte- oder Arbeitsprofil) auf dem Gerät installiert ist, wird die Einhaltung der oben beschriebenen Sicherheitseinstellungen vom Gerät selbst sichergestellt. Wenn das Profil entfernt wird, werden die UZH365 Daten gelöscht und das Gerät ist nicht mehr verwaltet. Bei erneuter Verwendung von UZH365 Apps wird automatisch die Verwaltung von Apps aktiviert.
  5. Gerätedaten
    Der Administrator kann (nur bei Verwaltung von UZH-eigenen Geräten):
    *) Wir verwenden Microsoft Intune für die Verwaltung von Mobilgeräten und die gekennzeichneten Funktionen sind für private Mobilgeräte nicht verfügbar. D.h. diese Funktionen stehen nur für verwaltete, UZH-eigene Geräte zur Verfügung.
    • Modell, Seriennummer und Betriebssystem anzeigen
    • Ihr Gerät anhand des Namens identifizieren
    • Verlorene oder gestohlene Geräte auf Werkseinstellungen zurücksetzen (nur auf ausdrückliche Anweisung des Benutzers)
    • Apps anzeigen, die Sie installiert haben *(Apps innerhalb von persönlichen Profilen sind nicht sichtbar)
    • Telefonnummer Ihres Geräts anzeigen*
    • Von Unternehmens-Apps und -Netzwerken gesammelte Informationen anzeigen*
    • Standort eines verlorenen Gerätes anzeigen*
    Der Administrator kann nicht (bei allen Verwaltungsmethoden):
    • Den Browserverlauf auf Ihrem Gerät anzeigen
    • Persönliche E-Mails, Dokumente, Kontakte oder Kalender anzeigen
    • Daten von anderen Apps anzeigen
    • Auf Ihre Kennwörter zugreifen
    • Ihre Fotos anzeigen, bearbeiten oder löschen
    Weiterführende Informationen
    Weitere Informationen zu den Möglichkeiten der eingesetzten Verwaltungslösung finden Sie unter folgendem Link:
    Microsoft Intune ist ein MDM- und MAM-Anbieter für Ihre Geräte
  6. Hardware-Schutz
    UZH-eigene Geräte können über Apple DEP oder Android Zero-Touch zusätzlich geschützt werden. Hierbei werden die Geräte fest mit der Verwaltungslösung der UZH verbunden. Dadurch können Geräte ohne Vorkonfiguration an Benutzende ausgegeben werden und die Verwaltung der Geräte von den Benutzenden nicht deaktiviert werden.

 

Verwaltungsmethoden für private Mobilgeräte
Nutzung von privaten Mobilgeräten

Weitere Informationen zu den Möglichkeiten der eingesetzten Verwaltungslösung:
Microsoft Intune ist ein MDM- und MAM-Anbieter für Ihre Geräte

Informationen zu Intune Unternehmensportal (MDM):
https://docs.microsoft.com/de-ch/mem/intune/user-help/use-managed-devices-to-get-work-done

Self Service Portal zum verwalten der persönlichen Geräte:
https://portal.manage.microsoft.com/devices