Traveler Policy "zieht" nicht

[JayDee]

Eine Handvoll Geräte (alle Android, v7 - 9, unterschiedliche Hersteller) von derzeit etwa 100 insgesamt (iOS und Android)  "schummeln" sich komplett an der Domino-Traveler-Policy vorbei, d.h. sie ignorieren diese.

Es läuft erst gar keine Gerätezugriffs-Genehmigung beim Domino-Admin auf (die Gerätedokumente landen "ungenehmigt") in der Traveler-DB), die Traveler-DB zeigt für diese Geräte an "No Policy" (in der Ansicht "Device Security" und im Geräte-Dokument).

Die Verse-App funktioniert auch auf diesen Geräten, der Menüpunkt Tools > Sicherheit anzeigen fehlt dort aber (konsequenterweise).

Traveler-Version ist 10.0.0.0 (auf Domino 9.0.1FP9), die Verse-App ist 10.0.2.0 oder 10.0.1.1.

Es gibt genau eine Policy für alle Android-Geräte.

Was könnte hier die Ursache sein?

[Tode]

Was sagt denn die Policy- Synopse für die betroffenen User?

[JayDee]

Die sieht genauso aus wie bei den Usern wo das Problem nicht auftritt.
Laut Synopse ist die Policy f.d. User "wirksam", in der Praxis aber eben nicht.

[DomAdm]

Hallo,

"tell adminp process traveler" auf dem Mail/Home Server ausgeführt?

https://www.ibm.com/support/knowledgecenter/de/SSYRPW_10.0.0/Creating_a_new__Lotus_Notes_Traveler_policy_settings_document.html
"Note The policy change is not pushed to affected user mail databases immediately. The admin process task performs this push operation periodically, every six hours by default. To update immediately, run the Domino Console command tell adminp process traveler on the mail servers that are hosting users affected by the new policy."

Hilfreich: https://www-10.lotus.com/ldd/dominowiki.nsf/dx/Notes__Domino_Policy_Flow_Chart

[Tode]

Um das zu prüfen kann man auch mit Ytria oder einem beliebigen anderen Tool nach Wahl mal die Profile in der Maildatenbank anschauen, es gibt 3 verschiedene: Traveler, Device und Security. Und die auch jeweils für jedes Gerät. Da kann man mal schauen, was das Mailfile so meint...

[JayDee]

Das mit den Profilen ist ein guter Tipp, das werde ich mal angehen, danke.

Die Policy hat sich nicht geändert, insofern gibt es da nichts zu pushen.

[JayDee]

Die Security-Profile der Geräte mit dem "No Policy" Problem sehen allesamt identisch/gleich aus, aber anders als die Security-Profile der Geräte die das Problem nicht haben (s.u.).

Beispiel: Security Profile von einem Gerät mit dem Problem "No Policy"
$PublicAccess                              1
$Name                                      $profile_010secprofile_android_368e149298b2fc4e
securityPending                            0
devCBanCameraSupport              0
devCcomplexPwSupport               0
devCver                                    2
devCdeviceEncryptionSupport   1
devCinactivity                             -1
devCerrCode                                1
devCdeviceEncrypted                   0
devCpwEnable                               -1
devCwipeLocal                              0
$UpdatedBy                                 <datenschutz>
$Revisions                                 17.12.2018 10:17:22;17.12.2018 10:17:22;17.12.2018 10:17:34;17.12.2018 10:17:36;17.12.2018 12:23:54

Beispiel: Security Profile von einem Gerät mit "Security compliant"
$PublicAccess                              1
$Name                                      $profile_010secprofile_android_b51e8480fc03d270
devCBanCameraSupport               1
devCcomplexPwSupport                1
devCver                                    2
devCdeviceEncryptionSupport   1
devCinactivity                             1
devCerrCode                                0
devCdeviceEncrypted                      1
devCpwEnable                               1
devCwipeLocal                              1
securityPending                            0
$UpdatedBy                                 <datenschutz>
$Revisions                                 18.12.2018 12:22:55;18.12.2018 12:22:56;18.12.2018 12:24:00;18.12.2018 12:24:11

Bei den Traveler- und Device-Profilen kann ich hingegen keine wesentlichen Unterschiede ausmachen, allerdings sind diese deutlich umfangreicher als die Security-Profile.
Ich hab auch zum Schein mal die Traveler-Policy geändert und per AdminP gepusht, mit bisher keiner sichtbaren Auswirkung.
Ungünstig ist, dass ich mir derzeit keins der problematischen Geräte "greifen" kann.
Das wird dann wohl ein Fall für den IBM Support, wennn sich mir nicht noch eine neue Erkenntnis auftut.

[Tode]

Einer Erkenntnis sollte sich Dir aber schon aufgedrängt haben: Der Traveler ist halt einfach kein MDM- System... und den Anforderungen zur DSGVO wirst Du mit einer reinen Traveler- Lösung ohne MDM sowieso nicht gerecht... insofern: Lass die Policies Policies sein und sichere das Ganze durch ein anständiges MDM ab, dann hast DU solche Sorgen nicht...

[JayDee]

Da hast du sicher recht, aber das liegt nicht in meinen Händen bzw. in meiner Macht. Ich kann nur mit dem arbeiten, was mir zur Verfügung steht...

[netzgoetter]

Vorab Achtung Werbung:

Genau zu diesem Zweck (neben anderen sinnvollen Dingen die die Traveler Administration erleichtern) gibt es unsere traveler.rules Lösung, die eine regelbasierte Gerätefreischaltung ermöglicht.

https://www.midpoints.de/de-solutions-midpoints.traveler.rules

Viele Grüße

Detlev