Verse auf privaten Smartphone verbieten

[Captain_Future]

Hi,
ich frag für einen Kumpel - echt jetzt :-)
Er hat kaum Ahnung von Domino und Traveler, bekam das Thema aufgedrückt.
Hin und wieder, wenn ich ihn sehe, bringt er einen Zettel mit aktuellen Problemen mit :-)

Folgendes hat man mich gestern gefragt:
Besteht die Möglichkeit den Zugriff per Verse auf den Traveler zu unterbinden? Man will verhindern, dass sich Leute im Unternehmen mittels Verse-App von einem privaten Endgerät einfach am Traveler einloggen.
Mein erster Vorschlag war über Gruppen den Zugriff auf den Traveler im Serverdokument zu beschränken, aber selbst wenn das funktioniert hätte, es geht nicht weit genug. Man will auch Benutzern die ein Dienstsmartphone haben verbieten, sich den Zugang auch auf ihrem privaten Smartphone einzurichten.
Es ist kein MDM (EMM, etc) im Einsatz.

Mir fällt nur noch eine Kombilösung ein, Zugriff per Gruppe beschränken und die Maximalanzahl der Geräte pro Benutzer zu beschränken (1) und eine Benachrichtigung zur Genehmigung zu generieren, falls ein zweites Gerät auftaucht. Macht, soweit ich weiß alles die TravelerDB. Dann wüsste er zumindest, wenn ein Benutzer ein zweites Gerät versucht zu verwenden. Damit wären ja auch die Personen abgeriegelt, die es versuchen, auf den Traveler direkt über EAS/Mailapp zuzugreifen.

Ich kann das leider mangels verfügbaren Traveler nicht testen. Aber liege ich da soweit richtig?

Gruß
CF

[Pfefferminz-T]

Und wie es der Zufall so will sind alle diese Informationen in der Doku zum Produkt wunderbar nachzulesen:

https://www.ibm.com/support/knowledgecenter/en/SSYRPW_9.0.1/Removing_mobility_services_access_for_a_given_user.html

[ronka]

Wenn ich das richtig lese, geht das also nur für devices welches sich einmal angemeldet haben am Server.
Vorsorglich aussperren geht damit nicht (würde mich auch wundern).

[stoeps]

Naja, du könntest require approval bei mehr als 1 device setzen. Das 1. richtet meist die IT ein, dann ist es wie private Geräte sperren.

[Pfefferminz-T]

Der Weg von Christoph wäre auch möglich (und vielleicht auch eleganter) aber beim Aktivieren der Option "Require approval" muss für einen Datentransfer das jeweilige Device freigeschaltet werden.

[netzgoetter]

Für genau diesen Fall haben wir unser Tool traveler.rules entwickelt.
Die Traveler interne Zugriffssteuerung ist in der Praxis in der Regel nicht ausreichend und bringt einige Probleme mit sich.

Hierüber können gezielt Geräte persistent regelbasiert gesperrt oder erlaubt  werden.
Dies erfolgt auf beliebigen Kombinationen von Benutzername UND/ODER Betriebssystem UND/ODER Clienttyp/-version UND/ODER DeviceID

Wird ein unerlaubtes Gerät gefunden oder probiert sich initial zu verbinden, wird das Gerät blockiert und der Admin per Mail informiert.

Ein MDM ist nicht notwendig. traveler.rules kann noch einiges mehr, aber deine Anforderung würde es zu 100% erfüllen.
Einrichtungsaufwand 60 Minuten. Preislich bezahlbar.

https://www.midpoints.de/de-solutions-midpoints.traveler.rules
http://www.admincamp.de/konferenz/ac2016.nsf/bc36cf8d512621e0c1256f870073e627/764fb62298d7e5b8c125801000228812/$FILE/T6S4-TravelerRules.pdf

[Captain_Future]

Hallo Christoph,

Naja, du könntest require approval bei mehr als 1 device setzen. Das 1. richtet meist die IT ein, dann ist es wie private Geräte sperren.

Ja das war ja auch meine Idee. Sobald sich ein weiteres Gerät mit den Credentials des Benutzers anmeldet, wird das abgelehnt bzw. man kann einen Admin informieren (oder den Chief Security Officer :-) ) und den Benutzer zusammenscheißen (lassen).
Auch wenn das zweite Gerät sich erstmal am Traveler registriert, solange es im Lock-Zustand ist, denke ich sollte das passen.

Das wäre zumindest die LowCost-Lösung.

Ich schau mir die Travler.rules Lösung auch mal an. Vielleicht sieht mein Kumpel da einen Mehrwert darin. Bekomm ich für die Vermittlung Provision? :-)

Danke euch allen.

Gruß
CF

[ronka]

Der kürzere Link zum Traveler.rules präsentation ist http://admincamp.de/AC16/Track6Session4