Steuerung Mobilenutzung nach Personen

[ArthurDaley]

Hallo Leute,

 

wir nutzen Swyx 12.20 und den Mobileclient. Wir möchten den Mobiliclient aber nur auf unsere Diensthandynutzer begrenzen. Wir wollen also erstmal allen die Nutzung des Mobileclients entziehen und dann sukzessive den Usern, die ein Diensthandy haben, die Mobilenutzung zuweisen können. Damit wollen wir verhindern, dass sich jeder mit seinen Zugangsdaten den Client auf das private Handy installieren und sich damit  anmelden kann.

 

Geht das? Im SwyxAdmin in den Rechten finde ich nichts entsprechendes.

 

Wäre dankbar für jede Hilfe,

 

Gruß aus dem Rheinland.

Arthur

[jodost]

Geht über Berechtigungen m.E. nicht.

 

Allenfalls über Basteleien (zB den nicht-berechtigten kein RemoteConnector-Zertifikat erstellen, was aber noch ein paar mehr wenn und aber und ggf. Anpassungen mit sich bringt usw.)

[ArthurDaley]

Welche weiteren Anpassungen wären das denn?

 

Es gibt scheinbar auch ein verstecktes Recht, welches man aber nur auf dem Server sieht und abhaken kann. Aber wenn man den HAken entfernt greift es nicht.

 

Es muß doch eine Möglichkeit geben, das zu steuern. Ich mein, wenn eine Firma kein BYOD macht, dann muß man sowas doch verhindern können.

[jodost]

1 hour ago, ArthurDaley said:

Welche weiteren Anpassungen wären das denn?

 

Kommt auf das drumrum an - falls zB RemoteConnector für andere Sachen benutzt wird, müsste man gucken, wie Du die sozusagen positiv-filterst. Vielleicht zB nur aus einem WLAN/VPN erlauben, in dem die Firmenhandys drin sind.

 

1 hour ago, ArthurDaley said:

auch ein verstecktes Recht, welches man aber nur auf dem Server sieht und abhaken kann. Aber wenn man den HAken entfernt greift es nicht.

 

Wäre mir neu. Welchen Haken meinst du?

 

1 hour ago, ArthurDaley said:

Es muß doch eine Möglichkeit geben, das zu steuern. Ich mein, wenn eine Firma kein BYOD macht, dann muß man sowas doch verhindern können.

 

Wie wäre es mit "Passwort nicht aushändigen"?

[ArthurDaley]

Wir haben keinen Zugriff auf unseren Server, nur den Adminclient, da unsere Swyx vom Provider gehostet wird. Der Admin beim Provider hat uns ein Rechteprofil angelegt, in dem auf dem Server ein Haken bei Use Mobile App oder sinngemäß gesetzt sein worden soll. Wir sehen diese Rolle im Admin aber nicht. Und funktionieren tut es auch nicht. 

 

Die Idee mit den Zertifikaten des Remotekonnectors entziehen hatten wir auch besprochen und wollen das mal testen. Für was Anderes nutzen wir den nicht.

 

Passwort nicht aushändigen? Das wäre aber Steinzeitmethodik. Die User brauchen das doch zum anmelden....

 

Ich kann echt nicht verstehen, dass sowas Grundsätzliches nicht gehen soll. Ich mein, für CTI+ kann man doch genauso Haken setzen oder entziehen und die App ist doch zu 100% die gleiche Funktionalität.

[jodost]

1 minute ago, ArthurDaley said:

Wir haben keinen Zugriff auf unseren Server, nur den Adminclient, da unsere Swyx vom Provider gehostet wird. Der Admin beim Provider hat uns ein Rechteprofil angelegt, in dem auf dem Server ein Haken bei Use Mobile App oder sinngemäß gesetzt sein worden soll. Wir sehen diese Rolle im Admin aber nicht. Und funktionieren tut es auch nicht. 

 

das ist die Lizenz für ein älteres Feature, hat mit der Mobile App gar nichts zu tun.

 

4 minutes ago, ArthurDaley said:

 

Passwort nicht aushändigen? Das wäre aber Steinzeitmethodik. Die User brauchen das doch zum anmelden....

 

naja, wenn Du nicht willst, dass er Clients in Betrieb nehmen soll, ist das das einfachste Mittel.

 

5 minutes ago, ArthurDaley said:

Ich kann echt nicht verstehen, dass sowas Grundsätzliches nicht gehen soll. Ich mein, für CTI+ kann man doch genauso Haken setzen oder entziehen und die App ist doch zu 100% die gleiche Funktionalität.

 

Bei CTI+ kannst Du lediglich das Feature "mit externer Rufnummer" als eigenständige Berechtigung setzen (was ich aus verschiedenen Gründen auch nachvollziehen kann - und ist eben nicht 100%ig gleich mit einem normalen Client). Oder, weil es ein aufpreispflichtiges Feature ist, die Lizenz entziehen. 

 

Ansonsten: Ich kenne eher wenig Produkte und Services, bei denen man einerseits einen User anlegt und ihm Zugangsdaten für den Zugriff per Client gibt und dann andererseits nicht möchte, dass er sich einloggt. 

 

Letzte Idee: Per Powershell regelmäßig abfragen, wer von welchem Endgerät eingeloggt ist. Und SwyxMobile-User, die nicht eingeloggt sein dürften, dann einfach sperren.

 

[ArthurDaley]

Ok, Letzteres ist vermutlich dann auch nicht realisierbar, dann werden ja auch die Telefone abgemeldet. 

 

Na gut, wenns nicht geht, hilfts ja nix, nicht zu ändern.

 

Danke Dir.

[jodost]

Just now, ArthurDaley said:

Ok, Letzteres ist vermutlich dann auch nicht realisierbar, dann werden ja auch die Telefone abgemeldet. 

 

Wenn Dir die Funktion wichtig ist, spiele sie mit deinem Swyx-Partner/-Hoster durch. "Die Telefone" (SIP? HFA? CTI-Betrieb mit einem Client) sind anders angebunden als der Mobile Client, d.h. man könnte den einen aussperren ohne den anderen.

 

Für eine vernünftige Lösung müsste man aber mehr Details kennen - zum Setup (um zu gucken was man machen kann ohne Nebenwirkungen auszulösen) und zur Anforderung (ist es eher eine technische Anforderung, die zwingend auszusperren, oder eher eine organisatorische, evtl. Verstöße "zu bemerken" um dem Mitarbeiter danach mitzuteilen, dass das nicht gestattet ist). Oder um zu entscheiden, ob es noch andere Wege zum aussperren gibt.

 

Machbar wäre es. Wie sinnvoll der Aufwand und die möglichen Nebenwirkungen, ist ne andere Frage.

[ArthurDaley]

400 Swyxphone L615 und so 30  L640, keine Softphones. Wenn das ginge, dass man die Zugänge bei Mißbrauch sperrt, ohne die Telefone abzumelden, wäre das ne Möglichkeit. Dürfen halt keine eingehenden Anrufe deswegen vor die Wand laufen.

 

Es ist eher eine organisatorische Anforderung. BYOD ist strengstens untersagt. Und da fällt nunmal die Swyx App auf nem eigenen Handy dann drunter.

[jodost]

11 minutes ago, ArthurDaley said:

Wenn das ginge, dass man die Zugänge bei Mißbrauch sperrt, ohne die Telefone abzumelden, wäre das ne Möglichkeit. Dürfen halt keine eingehenden Anrufe deswegen vor die Wand laufen.

Ein guter Swyx-Partner sollte das hinbekommen

[ArthurDaley]

Ok, Danke.

[srom]

Also ich sehe das als nicht so einfach an, zumindest nicht Swyx-Seitig.

 

Was benötigt man für den MobilClient :  Benutzername\Kennwort, RemoteConnector Zertifikat auf dem Benutzer, Externe-IP

Thema Lizenz greift nicht für den MobilClient, wurde auch schon gesagt.

 

Das einfachste ist das man eben das BenutzerZertifikat nicht auf die Benutzer ausrollt in der Swyx.

Das könnte man auch gut automatisieren per Powershell das man die Gruppenzugehörigkeit prüft und entsprechen das Zertifikat erstellt.

Ansonsten bleibt eventuell noch die Firewall ob man hier was Filtern könnte mit einem ReverseProxy.

 

Ansonsten bleibt nur die strickte Anweisung und einem Reporting welche MobileClients sich anmelden.

 

 

[jodost]

6 hours ago, srom said:

Also ich sehe das als nicht so einfach an

Das hab ich auch nicht behauptet

 

[ArthurDaley]

Danke Euch. Wir schaunmal, ob und wie wir es machen.