Traveler Richtlinie auf iOS Geräten nicht aktiv (Verse-App)

[PromITheus]

Guten Morgen,

wir setzen Travler-Richlinien für die Festlegung grundsätzlicher Sicherheitseinstellungen bei mobilen Geräten ein.

Bei allen Apple-Geräten vermerkt der Traveler allerdings "No Policy"!

An der Richtlinienstruktur und Zuordnung zu den Benutzern kann es eigentlich nicht liegen, die Android-Geräte sind exakt genauso zugeordnet und bei denen ist die Richtlinie aktiv. Auffällig ist: Wir setzen grundsätzlich die Verse-App ein. Eine handvoll Geräte läuft aber mit der nativen Apple Mail-App. Bei diesen wird die Richtlinie als aktiv angezeigt.

Was generell in der Traveler Policy Reiter "Preferences - Security Settings - Apple" auffällt (siehe Bild).

Es geht hier darum, dass ein Gerät immer mit einem Passwort (oder ähnlichem Sperrmechanismus) geschützt sein soll. Muss ich das so interpretieren, dass ich bei der Verse-App nur ein App-Passwort verlangen kann, aber nicht ein Gerätepasswort? Aber selbst dann müsste die Richtlinie doch als aktiv angezeigt werden, oder?

[DomAdm]

Hallo,

Muss ich das so interpretieren, dass ich bei der Verse-App nur ein App-Passwort verlangen kann, aber nicht eine Gerätepasswort? Aber selbst dann müsste die Richtlinie doch als aktiv angezeigt werden, oder?

Nicht unbedingt, siehe Punkt 2.

1.
Generell ist es empfehlenswert die Lotustraveler.nsf über einen Webbrowser zu öffnen:
https://help.hcltechsw.com/traveler/11.0.0/administeringlotusnotestravelerfromtheweb.html

2.
https://help.hcltechsw.com/traveler/11.0.0/viewinguseranddeviceinformation.html
Security Policy
   
The status of the security policy for this device. Values include:

    No policy
    Compliant
    Compliant - limited
    Not compliant

The value Not Supported is for device client levels before 8.5.

Additional details about security policy compliance status for a device are available by opening the device document in the Device Security view.

Note: No Policy displays when the device or application password setting is not enabled. Some of the device security settings that are automatically enforced by the server and require no user action will show as No Policy under Security Policy. For example, the following settings could exhibit No Policy:

    Prohibit export of calendar to OS
    Prohibit export of contacts to OS
    Prohibit use of Untrusted Certificates
    Prohibit Load of Remote Images
    Prohibit download of Attachments
    Require Mobile Application Management
    Allow only approved applications to access attachments

3.
https://help.hcltechsw.com/traveler/11.0.0/Server_synchronized_settings.html

Table 6. Default Preferences > Security Settings > Apple > HCL Verse

Setting        
Require application password

Description
Enables the requirement to have an application password.
This option must be selected to use any of these sub-settings except for: 
Prohibit export of contacts to OS,
Prohibit copy to clipboard,
Prohibit export of attachments to file system and Prohibit download of attachments.
The Violation Action of Enforce applies to all sub-settings for this field.
   
Default value
Disabled

[PromITheus]

Hallo Jacob,

in der Webansicht bekomme ich in diesem Fall keine widersprüchlichen oder anderen Werte angezeigt (zu 1.).
"HCL Verse - Require Application Passwort" (3.) macht ja anscheinend genau das, was der Eintrag vermuten lässt. Ist für mich aber kein Geräte Passwort Ersatz.

No Policy displays when the device or application password setting is not enabled.

Laut der Hilfenbeschreibung (2.) müsste ja bei unserer Einstellung "require device password - Enforce" auf jeden Fall eine aktivierte Richtlinie angezeigt werden.

[DomAdm]

Hallo,

das ist unsere Einstellung für die IBM Verse App auf Apple und die Details für ein iPad mit installiertem HCL Verse.
Alles aus der LotusTraveler.nsf, geöffnet über einen Browser.
Gerätename:   iPad
Geräte-ID:   HCL_IOS_C36C12F8854C46249C8E36313122CD2D
Betriebssystemtyp: Apple iOS 13.6
Buildstufe:   11.0.4.2020072914
Gerätesicherheit
Einhaltung von Sicherheitsrichtlinien: Konform

Ein "tell traveler Security Policy device user" zeigt den device security policy compliance status an. (device kann man auch mit "*" ersetzen, dann werden alle Geräte angezeigt)

[PromITheus]

Wenn ich eine iPhone Benutzerin konkret überprüfe (in der Webansicht und der Serverkonsole), wird dort angezeigt das keine Richtlinie aktiv ist (wie in den anderen Übersicht auch).

Ihr habt also die Kennworteingabe beim Öffnen der App aktiv. Wir möchten aber, dass das Gerät per Kennwort geschützt sein soll.

Die Richtlinienzuordnung läuft bei uns etwas anders. Die Default-Richtlinie auf dem Traveler ist deaktiviert (Zuordnung - Benutzer ausschließen - *).
Wir benötigen differenzierte Richtlinien und haben deshalb verschachtelte auf unserem Domino zugeordnet und eigene Gruppen dafür. Dort liegt aber höchstwahrscheinlich kein Fehler, da Androidbenutzer über die selben Richtlinien und Gruppen zugeordnet sind und einwandfrei funktionieren.

Daher lande ich wieder bei meiner Ausgangsfrage:
Kann es sein, dass ich das Gerätekennwort auf einem iOS Gerät nicht verlangen kann, wenn ich nur die Verse-App nutze? So lassen sich die Kommentare in den Reitern zumindest interpretieren (siehe Bild).

[PromITheus]

Wir haben getestet, ob die Anzeige "No Policy" auf dem Server stimmt.
Ein Benutzer hat sein Entsperrkenwort entfernt und sein Gerät neu gestartet. Danach lief auf seinem iPhone der Sync weiter.

Also stimmt die Anzeige des Travelers, dass die Policy nicht aktiv wird.
Damit lässt sich in der Kombination iOS-Gerät und Verse-App kein Gerätekennwort (Fingerabdruck usw.) per Richtlinie verlangen :-(