Denne beskrivelse henvender sig til organisationer der benytter Microsoft Intune
Torsdag den 23. februar 2023 oplyste Center for Cybersikkerhed, at det fraråder ansatte i staten at have TikTok installeret på tjenstlige enheder, herunder mobiltelefoner.
Her forklarer vi, hvordan du kan skabe dig et overblik over, hvilke enheder i jeres organisation der har TikTok installeret. Vi ser også på hvornår og hvordan app’en kan fjernes automatisk. Mulighederne afhænger af device-type og konfiguration. Vi skelner mellem fem forskellige:
- Android med Work Profile
- Android med Work Profile on Fully Managed Device (COPE)
- Android som er ”Fully managed”
- Apple iOS i almindelig tilstand
- Apple iOS i supervised tilstand
Vi har valgt at se bort fra Apple iOS med User Enrollment, da vi ikke har mødt organisationer der benytter det.
Mulighederne afhænger også af, hvilket MDM-værktøj I benytter. I denne artikel dækker vi Microsoft Intune.
Hvilke enheder har TikTok installeret?
Måske vil du gerne starte med at have et overblik over, hvor mange brugere der har TikTok på deres telefoner?
Det nemmeste er faktisk at hente et PowerShell script der kan lave en CSV fil til dig. Det kunne f.eks. være dette script.
Bemærk! Intune indsamler ikke information om de apps som brugeren selv installerer, hvis enheden er registreret som et ”personal device”. Det betyder, at du ikke kan se, om TikTok er installeret
- på enheder med Android Work Profile
- på iOS-enheder der er enrolled via Firmaportalen (medmindre man ændrer typen til ”corporate device”) men du kan godt lave restricted app alligevel og se data for iOS enheder!
Lav en ”Device Restriction” iOS device configuration policy og sæt TikTok ind som ”Prohibited app”. Indsæt https://apps.apple.com/us/app/tiktok/id835599320 og com.zhiliaoapp.musically som hhv. App Store Url og App Bundle ID. Tildel denne policy til alle brugere.
Nu kan du åbne dette link og følge med i hvilke iOS enheder der har TikTok installeret selvom de er ”personal” og ikke ”corporate”.
Kan vi fjerne TikTok automatisk?
Det klare svar er : Måske 😉 Det afhænger af enhedens konfiguration.
- Android med Work Profile – også Fully Managed Device (COPE). Hvis TikTok er installeret på den personlige side kan vi ikke se eller fjerne den. Det kan vi til gengæld, hvis den er installeret i Work Profile.
- Android som er ”Fully managed”. TikTok kan ikke ses men automatisk fjernes fra enheden
- Apple iOS i almindelig tilstand. Vi kan se, at app’en er installeret. Vi kan ikke fjerne den automatisk.
- Apple iOS i supervised tilstand. Vi kan se, at app’en er installeret. Hvis den er installeret, kan vi skjule den for brugeren med en restriction (der samtidig forhindrer TikTok i at køre). Vi kan ikke forhindre brugerne i at installere app’en.
Hvordan fjerner man TikTok?
For Android hentes TikTok ind som en Managed Play Store app (ja, den skal faktisk ”approves” for at komme ind i Intune. Tildel TikTok til alle brugere som ”Uninstall”.
For supervised iOS-enheder kan vi sætte TikTok (com.zhiliaoapp.musically) på ”hide” listen på en Device Restriction Policy (brug samme værdier som for restricted app policy fra tidligere):
Hvis man benytter Samsung-enheder, kan man benytte Samsung Knox Service Plugin (KSP) OEMConfig til at forhindre en app/TikTok i køre på enheden. App vil stadig være installeret, men deaktiveret. Bruger kan stadig afinstallere den via Play store.
I KSP-app er der en konfiguration der hedder:
Application management policies-> Disable Application without user interaction og
Application management policies-> Application Blocklist by Pkg Name
Her kan man indsætte en komma separeret liste af apps, f.eks. com.zhiliaoapp.musically (TikTok)
Og sådan ser det ud hvis brugeren prøver at installere TikTok:
Hvad kan vi ellers gøre?
Med Compliance Policies kan vi løbende holde øje med om TikTok bliver installeret på enheder og automatisk gøre brugerne og IT opmærksomme på dette brud på reglerne. Dette vil fange alle installationer på iOS.
Vi skal bruge en Compliance Policy til iOS / Android og den kunne se sådan her ud: