Denne beskrivelse henvender sig til organisationer der benytter VMware Workspace ONE
Torsdag den 23. februar 2023 oplyste Center for Cybersikkerhed, at det fraråder ansatte i staten at have TikTok installeret på tjenstlige enheder, herunder mobiltelefoner.
Her forklarer vi, hvordan du kan skabe dig et overblik over, hvilke enheder i jeres organisation der har TikTok installeret. Vi ser også på hvornår og hvordan app’en kan fjernes automatisk. Mulighederne afhænger af device-type og konfiguration. Vi skelner mellem fem forskellige:
- Android med Work Profile
- Android med Work Profile on Fully Managed Device (COPE)
- Android som er ”Fully managed”
- Apple iOS i almindelig tilstand
- Apple iOS i supervised tilstand
Vi har valgt at se bort fra Apple iOS med User Enrollment, da vi ikke har mødt organisationer der benytter det.
Mulighederne afhænger også af, hvilket MDM-værktøj I benytter. I denne artikel dækker vi VMware Workspace ONE.
Hvilke enheder har TikTok installeret?
Måske vil du gerne starte med at have et overblik over, hvor mange brugere der har TikTok på deres telefon.
Opret TikTok som ”Public” app for både iOS og Android. Tildel app til en tom smart gruppe. Herefter vil du kunne se oversigt over enheder med app’en installeret.
Husk at checke dine Privacy-indstillinger under ”Groups and Settings”, ”All Settings”, ”Devices & Users”, ”Privacy”. Måske samler du ikke privat-installerede apps ind for dine enheder.
Bruger du Workspace ONE Intelligence kan du her lave en rapport der dækker brugen af TikTok:
Kan vi fjerne TikTok automatisk?
Det klare svar er : Måske 🙂
Konfiguration | Muligheder |
Android med Work Profile | Hvis TikTok er installeret på den personlige side kan vi ikke se eller fjerne den. Det kan vi til gengæld, hvis den er installeret i Work Profile. |
Android med Work Profile on Fully Managed Device (COPE) | Her gælder det samme som for Android med Work Profile (ovenfor). |
Android som er ”Fully managed” | TikTok kan ses og automatisk fjernes fra enheden. |
Apple iOS i almindelig tilstand | Vi kan se, at app’en er installeret. Vi kan ikke fjerne den automatisk.
|
Apple iOS i supervised tilstand | Vi kan se, at app’en er installeret. Hvis den er installeret, kan vi skjule den for brugeren med en restriction (der samtidig forhindrer TikTok i at køre).
Vi kan ikke forhindre brugerne i at installere app’en. |
Hvordan fjerner man TikTok?
For Android laves en AppGroup hvor TikTok (com.zhiliaoapp.musically) sættes på DenyList. Tildel den til alle brugere og lav så en policy hvor adgang til denied apps blokeres.
For iOS-enheder kan vi enten sætte TikTok (com.zhiliaoapp.musically) på ”hide” listen på en Restriction Policy eller lave en custom policy der kun sætter denne ene setting:
<dict> <key>blockedAppBundleIDs</key> <array> <string>com.zhiliaoapp.musically</string> </array> <key>PayloadDisplayName</key> <string>Restrictions</string> <key>PayloadDescription</key> <string>RestrictionSettings</string> <key>PayloadOrganization</key> <string></string> <key>PayloadType</key> <string>com.apple.applicationaccess</string> <key>PayloadUUID</key> <string>d6f69985-c0a0-4669-8041-e5ede7a70dbb</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadIdentifier</key> <string>6892011d-ef67-41cc-affc-d9f005a67203.Restrictions</string> </dict>
Hvis man benytter Samsung-enheder, kan man benytte Samsung Knox Service Plugin (KSP) OEMConfig til at forhindre en app/TikTok i køre på enheden. App vil stadig være installeret, men deaktiveret. Bruger kan stadig afinstallere den via Play store.
I KSP-app er der en konfiguration der hedder:
Application management policies-> Disable Application without user interaction og
Application management policies-> Application Blocklist by Pkg Name
Her kan man indsætte en komma separeret liste af apps, f.eks. com.zhiliaoapp.musically (TikTok)
Og sådan ser det ud hvis brugeren prøver at installere TikTok:
Hvad kan vi ellers gøre?
Med Compliance Policies kan vi løbende holde øje med om TikTok bliver installeret på enheder og automatisk gøre brugerne og IT opmærksomme på dette brud på reglerne. Dette vil fange alle installationer (med undtagelse af Work Profile).
Vi skal bruge en Compliance Policy per platform (iOS / Android) og den kunne se sådan her ud: