Nutzung von Mobilgeräten

Die auf dieser Seite beschriebenen Verwaltungsmethoden werden gerade pilotiert und sollen die bestehenden Methoden per Ende August 2021 ablösen. Aufgrund von Ferienabwesenheiten wurde die Aktivierung von Juli auf August verschoben. 

Bitte beachten Sie folgende Links:
Pilot: Nutzung von privaten Mobilgeräten
Pilot: Nutzung von UZH-eigenen Mobilgeräten

 

Möchten Sie Microsoft 365 (oder Komponenten davon, wie z.B. Teams) auf Ihrem Mobilgerät nutzen, müssen für den datenschutzkonformen Einsatz zusätzliche Sicherheitsanforderungen eingehalten werden. So muss beispielsweise jedes Mobilgerät über ein Passwort oder einen Code gesichert werden, damit die Daten beim Verlust des Gerätes nicht frei zugänglich sind.

Um die Konfiguration möglichst benutzerfreundlich zu gestalten und gleichzeitig alle notwendigen Einstellungen sicherstellen zu können, setzt die UZH das "Intune Unternehmensportal" ein. Dabei handelt es sich um ein so genanntes Mobile Device Management System (MDM), also eine Software, welche die Sicherheitseinstellungen der Mobilgeräte prüft und verwaltet.

Welche Einstellungen werden auf Mobilgeräten geprüft?

  1. Passwort: Jedes Mobilgerät muss mittels Passwort geschützt sein.
    1. Das Passwort darf nicht zu einfach sein (z.B. aufsteigende Zahlen) und muss mindestens 6 Zeichen lang sein.
    2. Nach 10 fehlerhaften Passworteingaben muss das Gerät gelöscht werden.
    3. Bei Inaktivität muss das Gerät nach 5 Minuten gesperrt werden (Passworteingabe notwendig).
  2. Daten:
    1. Die Daten von Microsoft 365 UZH müssen verschlüsselt auf dem Gerät gespeichert werden, so dass andere Apps nicht zugreifen können.
    2. Die Daten von Microsoft 365 UZH müssen bei Geräteverlust oder Austritt aus der UZH gelöscht werden können.
  3. Gerätesicherheit:
    1. Das Gerät muss mit Original-Software des Herstellers laufen (keine gehackten Version mit Jail-Break oder Root-Zugriff).
    2. Microsoft bietet die Microsoft 365 Apps über die offiziellen Portale von Android, iOS und Windows an (Google Play Store, App-Store und Windows-Store). Ggf. ist die Installation der Apps aufgrund von veralteter Hard- oder Software nicht möglich.

Wie funktioniert MDM?

Nach der Installation der Unternehmensportal App aus dem entsprechenden Store und der Anmeldung mit einem Microsoft 365 UZH Konto werden die Sicherheitsanforderungen überprüft und ein Verwaltungsprofil installiert. Das Profil enthält neben den Sicherheitseinstellungen auch die Kontoinformationen und erlaubt den Zugriff auf UZH Daten mit den Microsoft 365 Applikationen (z.B. OneDrive, OneNote, Word, Excel, PowerPoint). Wenn das Profil durch den Benutzer oder den UZH Administrator entfernt wird, werden automatisch alle Microsoft 365 UZH Daten und Kontoinformationen von dem Gerät gelöscht. Ein direkter Zugriff auf die auf dem Gerät gespeicherten Daten oder die Verbindungsdaten des Beutzers ist nicht möglich.

MDM Funktionen

  1. Selektives Löschen (Retire):
    Durch das Löschen des Verwaltungsprofils können alle Microsoft 365 UZH Daten und Kontoinformationen von dem Gerät gelöscht werden, ohne andere Daten auf dem Gerät zu verändern. Die Löschung kann manuell durch den Benutzer in den Geräteeinstellungen vorgenommen werden. Alternativ kann der Benutzer dies über das Microsoft 365 Portal oder die Unternehmensportal App (auch von einem anderen Gerät aus) durchführen. Neben diesem Self-Service besteht auch die Möglichkeit, die Löschung durch einen Administrator ausführen zu lassen, z.B. falls der Benutzer keinen Zugang zu den genannten Self-Service Optionen hat.
  2. Auf Fabrikzustand zurücksetzen (Wipe):
    Analog zum selektiven Löschen kann ein Gerät auch komplett gelöscht werden. Dies macht vor allem bei Verlust des Gerätes oder Diebstahl Sinn, da so auch private Daten auf dem Gerät gelöscht werden.
  3. Ortung des Gerätes:
    Über das Microsoft 365 Portal kann der Standort des Gerätes durch den Benutzer (Self-Service) oder einen Administrator ermittelt werden. Neben dem reinen Auffinden eines Gerätes kann diese Information auch für Sicherheitsregeln verwendet werden. So ist es z.B. möglich, den Zugriff aus bestimmten Ländern zu sperren.
  4. Sicherheitseinstellungen:
    Solange das Verwaltungsprofil auf dem Gerät installiert ist, wird die Einhaltung der oben beschriebenen Sicherheitseinstellungen vom Gerät selbst sichergestellt. Wenn das Profil entfernt wird, werden die Microsoft 365 UZH Daten gelöscht und das Gerät ist nicht mehr verwaltet.
  5. Gerätedaten
    Der Administrator kann:
    • Modell, Seriennummer und Betriebssystem anzeigen
    • Ihr Gerät anhand des Namens identifizieren
    • Verlorene oder gestohlene Geräte auf Werkseinstellungen zurücksetzen (nur auf ausdrückliche Anweisung des Benutzers)
    • Apps anzeigen, die Sie installiert haben*
    • Telefonnummer Ihres Geräts anzeigen*
    • Von Unternehmens-Apps und -Netzwerken gesammelte Informationen anzeigen*
    • Standort eines verlorenen Gerätes anzeigen*
    * Funktionen aktuell nicht verfügbar. Wir verwenden bisher das integrierte MDM von Office 365. Falls wir später eine zusätzliche MDM-Lösung einsetzen, wären die gekennzeichneten Funktionen zusätzlich möglich. Der Einsatz einer zusätzlichen MDM-Lösung macht z.B. Sinn, wenn wir Apps, WLAN- oder VPN-Einstellungen automatisch auf den Mobilgeräten hinzufügen möchten.
    Der Administrator kann nicht:
    • Den Browserverlauf auf Ihrem Gerät anzeigen
    • Persönliche E-Mails, Dokumente, Kontakte oder Kalender anzeigen
    • Daten von anderen Apps anzeigen
    • Auf Ihre Kennwörter zugreifen
    • Ihre Fotos anzeigen, bearbeiten oder löschen
    Weiterführendes Informationen
    Weitere Informationen zu den Möglichkeiten der eingesetzten MDM Lösung finden Sie unter folgendem Link:
    Capabilities of Basic Mobility and Security

 

Nutzung ohne MDM

Wenn ein Gerät die Sicherheitsanforderungen nicht erfüllt, oder ein Benutzer kein MDM installieren möchte, ist der Zugriff auf Microsoft 365 UZH über die Microsoft Apps nicht möglich. In diesem Fall können eingeschränkte Funktionen über den Browser des Gerätes (https://portal.office.com) genutzt werden. Diese Variante bietet jedoch keine Offline-Möglichkeiten.

 

Nutzung von Privatgeräten

Grundsätzlich ist die Nutzung von Privatgeräten für Microsoft 365 UZH erlaubt. Die Zentrale Informatik hält sich jedoch das Recht vor, Geräte bei Missbrauch oder aus Sicherheitsgründen zu sperren und die Microsoft 365 UZH Daten zu löschen. Die Microsoft 365 UZH Daten werden getrennt von den bestehenden Daten auf den Geräten in so genannten Konten abgelegt. Dadurch ist ein Parallelbetrieb von verschiedenen Microsoft 365 Konten auf einem einzelnen Gerät möglich. Jedoch können nicht mehrere Verwaltungsprofile installiert werden.

 

Backup der Mobilgeräte

Es wird dringend empfohlen, regelmässig Backups von den Mobilgeräten zu erstellen. Geräte-Backups enthalten keine Microsoft 365 UZH Daten, diese werden jedoch innerhalb von Microsoft 365 gesichert. Die Zentrale Informatik bietet keinen Support für die Wiederherstellung von privaten Daten, bitte wenden Sie sich hierfür an den jeweiligen Hersteller-Support.

Store-Konten (iCloud, Google Play,...)

Bitte verwenden Sie für die Registrierung ihrer Store-Konten keine UZH E-Mailadresse, da sie bei einem Austritt aus der UZH so nicht mehr auf gekaufte Inhalte wie Apps und Musik oder Ihre Backups zugreifen könnten.

Informationen zu Intune Unternehmensportal (MDM): https://docs.microsoft.com/de-ch/mem/intune/user-help/use-managed-devices-to-get-work-done

Self Service Portal zum verwalten der persönlichen Geräte: https://portal.manage.microsoft.com/devices