Security Professionals - ipfw add deny all from eindgebruikers to any

Exchange 2016 van werkgever kan privetelefoon naar factorydefault zetten?

04-12-2019, 16:26 door Quest1282, 27 reacties
Een medewerker van een bedrijf heeft een prive mobiel.
Op dit mobiel (iphone of andriod om het even) installeerd hij de Outlook app.
Uit flexibiliteit en handigheid koppelt hij daarop zijn werk email account.

Nu is met de komst van Exchange 2016 de mogelijkheid gekomen voor een beheerder om op afstand 2 dingen te doen:
- verwijder (werk) Outlook account uit de Outlook app.
- reset de telefoon naar factorydefault.
beide opties zitten als knopjes langs elkaar.

De eerste optie kan ik in komen als bv iemand uit dienst gaat.
De tweede optie wordt wat vervelend gezien mensen hier alle fotos (dus ook prive) etc kwijt raken.

Betekend dit dat je dus nooit je Outlook werkmail op je privetelefoon mag zetten?
Mag een werkgever je prive telefoon (of de macht hebben om te) whipen naar factory default?
Dient een werkgever je een werktelefoon aan te bieden als hij vindt dat je mobiel je mail moet kunnen lezen?

hoe zit dit eigenlijk?

bron : https://docs.microsoft.com/en-us/exchange/clients/exchange-activesync/remote-wipe?view=exchserver-2019
Reacties (27)
04-12-2019, 16:52 door Anoniem
Ik ben een Exchange beheerder geweest.

Deze feature is er al sinds Exchange Server 2003 SP2
Is dus geen nieuwe feature sinds 2016 versie, bestaat al heel lang.

Deze discussies zijn er al langer, sinds 2003 heb ik die al.
Mijn advies is altijd alleen zakelijke telefoons.

Het is een vertrouwensrelatie met je werkgever dat hij deze feature nooit gebruikt, technisch kan het wel.

Steeds vaker worden MDM oplossingen gebruikt, waar tevens deze feature ook in zit, dus is niet alleen Exchange specifiek.
04-12-2019, 18:16 door Anoniem
Onlangs was er een discussie over middelen die werkgevers ter beschikking moeten stellen en in hoeverre men erop kan rekenen dat je daarvoor privémiddelen ter beschikking stelt. Je ziet steeds verder gaande eisen wat betreft het management van het apparaat, wat mijns inziens betekent dat je als werknemer beter af bent een scheiding van privé en werkgerelateerde hardware aan te houden. Wil men dat je onderweg mails leest, dan zal daarvoor hardware beschikbaar gesteld moeten worden.
05-12-2019, 08:33 door jh81
Ik ben daar heel simpel in.

Werkmail op je prive telefoon is alleen toegestaan als je ons ook toestemming geeft om het ding te wissen mocht dit nodig zijn.
Dat staat bij ons in de voorwaarden, en schakelen wij ook niet uit.

Voor de mensen die echt werkmail *moeten* kunnen lezen op een telefoon hebben we werk telefoons, de rest heeft ofwel geen mail op zijn telefoon, ofwel gaat akkoord met de voorwaarden en de policy.

Dit zijn management beslissingen, ik zelf ben van mening dat werkmail helemaal niet op een prive telefoon hoort, maargoed :)

Het meest gehoorde argument hiervoor is "ik wil niet met twee telefoons rondlopen" ik leg dan altijd kort uit hoe het zit met de GDPR etc. meestal snappen gebruikers dan wel dat beide kanten een beetje water bij de wijn moeten doen.
05-12-2019, 09:24 door Anoniem
Door jh81: Ik ben daar heel simpel in.

Werkmail op je prive telefoon is alleen toegestaan als je ons ook toestemming geeft om het ding te wissen mocht dit nodig zijn.
Dat staat bij ons in de voorwaarden, en schakelen wij ook niet uit.

Voor de mensen die echt werkmail *moeten* kunnen lezen op een telefoon hebben we werk telefoons, de rest heeft ofwel geen mail op zijn telefoon, ofwel gaat akkoord met de voorwaarden en de policy.

Dit zijn management beslissingen, ik zelf ben van mening dat werkmail helemaal niet op een prive telefoon hoort, maargoed :)

Het meest gehoorde argument hiervoor is "ik wil niet met twee telefoons rondlopen" ik leg dan altijd kort uit hoe het zit met de GDPR etc. meestal snappen gebruikers dan wel dat beide kanten een beetje water bij de wijn moeten doen.

Met jou kan ik praten!

Op het werk ook deze discussie. Ja maar ik gebruik mijn werktelefoon (dus die de werkgever je verstrekt) ook privé en dan zal hij (de werkgever, degene die je telefoon betaald) zomaar mijn privé dingen mogen wissen?!

JA.

Gaat ook op voor privé telefoons waar je werkmail op leest middels Outlook of andere MDM apps. Wil je dit? Accepteer dan ook de nadelen.
05-12-2019, 09:33 door Anoniem
Dit is een feature die inderdaad ook al in eerdere versies van Exchange te vinden is.

Een kleine nuance is wel op zijn plaats...
Voor zover ik weet is het wissen van de hele telefoon enkel mogelijk als je de 'werkmail' ophaalt met een native mailapplicatie van de telefoon (gmail, apple mail, etc.)
Met de Outlook (OWA) app kun je alleen het zakelijke account verwijderen en niet de hele telefoon wissen.
Zie ook: https://docs.microsoft.com/en-us/exchange/clients/outlook-for-ios-and-android/manage-devices
05-12-2019, 09:45 door Anoniem
Door jh81: Ik ben daar heel simpel in.

Werkmail op je prive telefoon is alleen toegestaan als je ons ook toestemming geeft om het ding te wissen mocht dit nodig zijn.
Dat staat bij ons in de voorwaarden, en schakelen wij ook niet uit.

Voor de mensen die echt werkmail *moeten* kunnen lezen op een telefoon hebben we werk telefoons, de rest heeft ofwel geen mail op zijn telefoon, ofwel gaat akkoord met de voorwaarden en de policy.

Dit zijn management beslissingen, ik zelf ben van mening dat werkmail helemaal niet op een prive telefoon hoort, maargoed :)

Het meest gehoorde argument hiervoor is "ik wil niet met twee telefoons rondlopen" ik leg dan altijd kort uit hoe het zit met de GDPR etc. meestal snappen gebruikers dan wel dat beide kanten een beetje water bij de wijn moeten doen.

Dat klinkt als een goede manier om werknemers die de mail een beetje in de gaten willen houden dit dusdanig lastig te maken dat ze maar gewoon helemaal niet meer bereikbaar zijn.
06-12-2019, 10:45 door Anoniem
Beetje onzinnige discussie. Het heeft meer met GDPR te maken en zakelijk belang. Denk je eens in dat je device waar je werk-mail op staat wordt gestolen of je laat hem ergens liggen waardoor iemand anders toegang zou kunnen krijgen tot jouw gegevens die op het apparaat staan. Geen enkele werkgever wil dat werk-gerelateerde documenten/mails wordt onderschept door derden dus is deze optie standaard aanwezig. Het zal in de praktijk zelden tot niet voorkomen dat een werkgever 'zomaar' het apparaat naar factory defaults zet behalve bij echte gegronde redenen wanneer een device vermist wordt en er zakelijk belang bij is (bescherming persoonsgegevens, financiele informatie en ga zo maar door) dat deze gegevens niet door derden kan worden gelezen.

Even los van het werk-aspect. Als je device gejat wordt heb je feitelijk hetzelfde probleem (prive gegevens waarvan je liever niet zou willen dat derden dit kunnen lezen/bekijken) en kun je tegenwoordig je device wipen via je Google of iCloud account dus ik snap het probleem niet zo.
06-12-2019, 11:44 door Anoniem
Door Anoniem: Dit is een feature die inderdaad ook al in eerdere versies van Exchange te vinden is.

Een kleine nuance is wel op zijn plaats...
Voor zover ik weet is het wissen van de hele telefoon enkel mogelijk als je de 'werkmail' ophaalt met een native mailapplicatie van de telefoon (gmail, apple mail, etc.)
Met de Outlook (OWA) app kun je alleen het zakelijke account verwijderen en niet de hele telefoon wissen.
Zie ook: https://docs.microsoft.com/en-us/exchange/clients/outlook-for-ios-and-android/manage-devices
Klopt, quote van die page:
"Note

Outlook for iOS and Android only supports the "Wipe Data" remote wipe command and does not support "Account Only Remote Wipe Device." "

Het is daarmee veilig om je zakelijke mail op je prive toestel te lezen, zolang je de Microsoft Outlook client gebruikt: dat is een "sandbox app", waarbij alle gegevens binnen de mail client blijven. De werkgever kan alleen de data binnen die app wissen.
06-12-2019, 11:48 door Anoniem
Betekend dit dat je dus nooit je Outlook werkmail op je privetelefoon mag zetten?

Het feit dat functionaliteit bestaat, wil niet zeggen dat je werkgever er gebruik van maakt. Nog nooit een werkgever meegemaakt, die een prive mobieltje wiped.

Verder vraag ik me af of je wel eens nadenkt over begrippen keuze, en vrijwilligheid. Er bestaat geen wet welke stelt dat je Outlook werkmail wel/niet op je telefoon mag zetten.

Zelf kan je wel bepalen of je dit wel/niet wilt, en jouw wensen delen met je werkgever. Tenzij enkel wetten en regels de verhouding tussen jou, en je werkgever, bepalen.
06-12-2019, 11:49 door Anoniem
Even los van het werk-aspect. Als je device gejat wordt heb je feitelijk hetzelfde probleem (prive gegevens waarvan je liever niet zou willen dat derden dit kunnen lezen/bekijken) en kun je tegenwoordig je device wipen via je Google of iCloud account dus ik snap het probleem niet zo.

Voordeel is dan dat werknemer en werkgever een gemeenschappelijk belang hebben. En opeens zitten er positieve kanten, aan de remote wipe functionaliteit ;)
06-12-2019, 17:00 door Anoniem
Heb ook op mijn privé toestel mijn werk email staan, ja men kan mijn toestel op afstand wissen.
Lijkt me erg handige optie ook voor mij, toestel kwijt, wipen.

Foto's kwijt, tja, als je je mobiel laat zwemmen ben je die ook kwijt. Sync met een cloud omgeving en je behoud je favoriete dingen, denk dus een eigen probleem verhaal, normaal - ik heb Android - zeg ik tegen google herstel hem even (op het gewipte of een nieuw toestel), dus lijkt me prima zo.
07-12-2019, 16:05 door Anoniem
Het is hoe dan ook niet handig om enige vorm van outlook op een prive device te zetten... Maar goed... Dat zal wel een gepasseerd station zijn.
07-12-2019, 19:53 door Anoniem
Door Anoniem: Het is hoe dan ook niet handig om enige vorm van outlook op een prive device te zetten... Maar goed... Dat zal wel een gepasseerd station zijn.
Omdat? Beeft vage post zonder enige onderbouwing.

Maar dat zal voor deze Anoniem wel een gepasseerd station zijn.
08-12-2019, 22:25 door Anoniem
Met Outlook bedoelt hij/zij uiteraard werk email.
09-12-2019, 08:11 door jh81
Door Anoniem:
Door jh81: Ik ben daar heel simpel in.

Werkmail op je prive telefoon is alleen toegestaan als je ons ook toestemming geeft om het ding te wissen mocht dit nodig zijn.
Dat staat bij ons in de voorwaarden, en schakelen wij ook niet uit.

Voor de mensen die echt werkmail *moeten* kunnen lezen op een telefoon hebben we werk telefoons, de rest heeft ofwel geen mail op zijn telefoon, ofwel gaat akkoord met de voorwaarden en de policy.

Dit zijn management beslissingen, ik zelf ben van mening dat werkmail helemaal niet op een prive telefoon hoort, maargoed :)

Het meest gehoorde argument hiervoor is "ik wil niet met twee telefoons rondlopen" ik leg dan altijd kort uit hoe het zit met de GDPR etc. meestal snappen gebruikers dan wel dat beide kanten een beetje water bij de wijn moeten doen.

Dat klinkt als een goede manier om werknemers die de mail een beetje in de gaten willen houden dit dusdanig lastig te maken dat ze maar gewoon helemaal niet meer bereikbaar zijn.

Er is ook nog zoiets als OWA, Outlook Web Acces. Daar hebben onze gebruikers gewoon allemaal toegang toe, ongeacht welk systeem ze gebruiken.

Je kan altijd wel redenen bedenken om bepaalde regels uit te schakelen, maar zo word de wereld nooit veiliger he. En daarbij, ik leer mijn gebruikers dat het helemaal niet verkeerd is om af en toe eens niet bereikbaar te zijn. Als de wereld zou vergaan als je niet bij je mail kunt dan heb je blijkbaar een dusdanig belangrijke functie dat je wel een aparte werk telefoon nodig hebt!

Ik heb lang geleden ontdekt dat niemand onmisbaar is op werkgebied.. ik werkte 60 uur per week, deed 200% mijn best, en werd als eerste aan de kant gezet toen het financieel zo uit kwam.. Nee dankje, als ik klaar ben met werken ben ik alleen nog maar bereikbaar voor mijn directe collega's, en de notificaties van het monitoringssysteem :)
09-12-2019, 09:41 door _R0N_
Ik snap het probleem niet zo.
Je werkgever gaat niet voor de lol prive telefoons terug zetten naar fabrieksinstellingen.

Het is een optie die ervoor zorgt dat details, prive en zakelijk, niet lekken op het moment dat je telefoon verdwenen is.
Zolang je dus je telefoon in gebruik hebt is er niets aan de hand, ook niet zodra je het werk mailaccount verwijderd, het resetten kan enkel op het moment dat je het account synchroniseert en je de opdracht mee krijgt met je account details.

Dus zodra je uit dienst gaat verwijder je het account en klaar, niets aan de hand dus.
09-12-2019, 10:16 door Anoniem
Door _R0N_: Ik snap het probleem niet zo.
Je werkgever gaat niet voor de lol prive telefoons terug zetten naar fabrieksinstellingen.

Het is een optie die ervoor zorgt dat details, prive en zakelijk, niet lekken op het moment dat je telefoon verdwenen is.
Zolang je dus je telefoon in gebruik hebt is er niets aan de hand, ook niet zodra je het werk mailaccount verwijderd, het resetten kan enkel op het moment dat je het account synchroniseert en je de opdracht mee krijgt met je account details.

Dus zodra je uit dienst gaat verwijder je het account en klaar, niets aan de hand dus.

Het zou echt niet de eerste keer zijn dat een dergelijke feature binnen een organisatie per ongeluk op grote schaal gebruikt wordt. Dat is geen fictief scenario. Ik heb het zien gebeuren. Categorie 'oeps en sorry en jammer van je eigen data' en dan weer door.
09-12-2019, 11:34 door Anoniem
Door Anoniem:
Door _R0N_: Ik snap het probleem niet zo.
Je werkgever gaat niet voor de lol prive telefoons terug zetten naar fabrieksinstellingen.

Het is een optie die ervoor zorgt dat details, prive en zakelijk, niet lekken op het moment dat je telefoon verdwenen is.
Zolang je dus je telefoon in gebruik hebt is er niets aan de hand, ook niet zodra je het werk mailaccount verwijderd, het resetten kan enkel op het moment dat je het account synchroniseert en je de opdracht mee krijgt met je account details.

Dus zodra je uit dienst gaat verwijder je het account en klaar, niets aan de hand dus.

Het zou echt niet de eerste keer zijn dat een dergelijke feature binnen een organisatie per ongeluk op grote schaal gebruikt wordt. Dat is geen fictief scenario. Ik heb het zien gebeuren. Categorie 'oeps en sorry en jammer van je eigen data' en dan weer door.
En het zal ook niet de laatste keer zijn. Daarom altijd backup backup backup....

Maar het is nog altijd geen standaard or regel dat dit standaard voor de lol gedaan wordt.
09-12-2019, 12:24 door Anoniem
Ja het komt voor omdat mensen het handig vinden.
Vergeten de voorwaarden voor thuiswerken te lezen.

Ooit een collega heel kwaad gezien omdat de IT service desk een verkeerde privé telefoon hadden gewist.
Gevalletje jammer joh wij hebben geen backups van jou privé toestel wel je werk email.
09-12-2019, 17:07 door Anoniem
Het zou echt niet de eerste keer zijn dat een dergelijke feature binnen een organisatie per ongeluk op grote schaal gebruikt wordt. Dat is geen fictief scenario. Ik heb het zien gebeuren. Categorie 'oeps en sorry en jammer van je eigen data' en dan weer door.

Als je dit risico niet wil lopen dan koppel je dus geen werkgegevens op je privé apparatuur. Zo klaar als een klontje.
09-12-2019, 18:02 door Anoniem
Ja je kunt een toestel als beheerder wipen op afstand echter kan de gebruiker dit zelf ook in de Exchange omgeving. Als je het goed doet heb je een paar volledige Exchange beheerders die bij deze opties kunnen.
Eigenlijk doe je dit als beheerder nooit maar pas na kennisgeving van de eindgebruiker melding diefstal oid. De eindgebruiker kan dit na diefstal zelf ook regelen.
Gaat een medewerker uit dienst kun je de gegevens als beheerder verwijderen van de telefoon maar een goed uitstroom beleid en het account is inactief en dus de koppeling kwijt op zijn/haar telefoon. Tsja lijkt me allemaal niet zo heel spannend en als je er toch risico in ziet dan koppel je dus geen werk gegevens op een prive apparaat als eindgebruiker
10-12-2019, 09:20 door Anoniem
Door Anoniem: Het zou echt niet de eerste keer zijn dat een dergelijke feature binnen een organisatie per ongeluk op grote schaal gebruikt wordt. Dat is geen fictief scenario. Ik heb het zien gebeuren. Categorie 'oeps en sorry en jammer van je eigen data' en dan weer door.

Als je dit risico niet wil lopen dan koppel je dus geen werkgegevens op je privé apparatuur. Zo klaar als een klontje.

Helaas verwachten veel werkgevers wel dat je dit doet. Soms krijg je niet eens apparatuur van de zaak.
10-12-2019, 11:01 door Anoniem
Het is een vertrouwensrelatie met je werkgever dat hij deze feature nooit gebruikt, technisch kan het wel.

Hoezo nooit. Zou je, in het geval van diefstal, niet een mogelijk gezamenlijk belang hebben, bij het gebruiken van de remote wipe functie.....

Helaas verwachten veel werkgevers wel dat je dit doet. Soms krijg je niet eens apparatuur van de zaak.

Het feit dat ze iets verwachten, wil niet per definitie zeggen dat je dat ook moet doen. Er bestaat ook nog zoiets als je eigen wil.
11-12-2019, 11:55 door Anoniem
Door Anoniem:
Het is een vertrouwensrelatie met je werkgever dat hij deze feature nooit gebruikt, technisch kan het wel.

Hoezo nooit. Zou je, in het geval van diefstal, niet een mogelijk gezamenlijk belang hebben, bij het gebruiken van de remote wipe functie.....

Helaas verwachten veel werkgevers wel dat je dit doet. Soms krijg je niet eens apparatuur van de zaak.

Het feit dat ze iets verwachten, wil niet per definitie zeggen dat je dat ook moet doen. Er bestaat ook nog zoiets als je eigen wil.
Succes met je eigen wil als je je werk niet kunt doen omdat je zoiets weigert en de arbeidsrelatie daardoor verzuurt. Dat is het hele probleem met arbeidsrelaties. Ogenschijnlijk vrije keuzes zijn dat vaak niet.
12-12-2019, 14:28 door Anoniem
Volgens mij zie ik allerlei discussies die niet rechtstreeks met de vraag te maken hebben:

Betekend dit dat je dus nooit je Outlook werkmail op je privetelefoon mag zetten?
Mag een werkgever je prive telefoon (of de macht hebben om te) whipen naar factory default?
Dient een werkgever je een werktelefoon aan te bieden als hij vindt dat je mobiel je mail moet kunnen lezen?

Hierboven is aangegeven: als je de Microsoft Outlook app gebruikt kan de werkgever NIET de telefoon wissen. Het enige wat hij kan wissen is de inhoud van de Outlook app, waardoor werkmail niet door derden gelezen kan worden.

Dus:
Antwoord 1: Ja, je mag Outlook op je prive telefoon zetten
Antwoord 2: Wat de werkgever wel of niet mag op prive apparatuur moet je onderling bepalen. Met de Microsoft Outlook app hoeft het geen discussie te zijn omdat de werkgever het niet kan.
Antwoord 3: Nee, waarom zou hij?


Even een aandachtspunt: dit is bij gebruik van de Microsoft Outlook App. Android en iPhone hebben ook een eigen client voor Exchange. Als je die gebruikt kan de werkgever WEL je telefoon op afstand wissen! Let er dus op welke App je gebruikt.

En als de werkgever slim is staat hij niet toe dat je via de Microsoft Outlook app je prive email leest. Want dan kan je bedrijfsemail rechtstreeks ergens anders naar doorsturen zonder dat dat door de werkgever te zien is. Daar gebruik je dan maar weer je Android of iPhone email client voor.
12-12-2019, 15:48 door Anoniem
Ik ken Exchange redelijk maar ik had het nog nooit geprobeerd. Zojuist getest op mijn werk iPhone (gebruikt iOS mail app) en dat ging wel soepeltjes.

Zomenteen eens het gedrag test wat het doet in de Outlook app zoals eerder aangegeven "Met de Outlook (OWA) app kun je alleen het zakelijke account verwijderen en niet de hele telefoon wissen."

Ik geloof dat mijn manager het volgende niet zo zal waarderen als test > Search all user with PowerShell and ForEach User Clear-MobileDevice hahaha.... oepss
13-12-2019, 16:09 door Anoniem
Door Anoniem: Ik ben een Exchange beheerder geweest.

Deze feature is er al sinds Exchange Server 2003 SP2
Is dus geen nieuwe feature sinds 2016 versie, bestaat al heel lang.

Deze discussies zijn er al langer, sinds 2003 heb ik die al.
Mijn advies is altijd alleen zakelijke telefoons.

Het is een vertrouwensrelatie met je werkgever dat hij deze feature nooit gebruikt, technisch kan het wel.

Steeds vaker worden MDM oplossingen gebruikt, waar tevens deze feature ook in zit, dus is niet alleen Exchange specifiek.

Inderdaad, prive telefoon gewoon niet naar het werk meenemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.