Skip to content

Das Beste aus der Workday App herausholen

App-Security und Best Practices

Als Workday-Kunde können Sie die mobile Workday App nutzen. Über die App können Sie einfach auf Self-Service-Aufgaben zugreifen und diese erledigen sowie Berichte anzeigen. Workday Mobile wurde für den Self-Service-Anwender entwickelt. Daher sind je nach Sicherheitseinstellungen und Zugriffsebenen nicht alle Funktionen verfügbar. In dieser Kurzanleitung beschreiben wir die Sicherheitsstandards für die mobile Workday App und geben mobilen Anwendern hilfreiche Tipps und Tricks.

 

Erste Schritte mit Workday Mobile

Nicht alle Benutzereinstellungen von mobilen Anwendungen sind gleich gestaltet. Führen Sie den Bericht „List Tasks Available on Mobile” (Liste mit mobil verfügbaren Aufgaben) aus, um zu erfahren, welche Geschäftsprozesse und Aktionen Sie auf jeder Plattform (Android, iPhone usw.) erledigen können. Der Funktionsumfang der mobilen App kann eingeschränkt sein. Wenn Sie auf alle Funktionen zugreifen möchten, dann nutzen Sie die Workday Browseranwendung. Geben Sie dazu die URL Ihres Mandanten in einen Webbrowser auf Ihrem mobilen Gerät ein.

 

Einfache Aktivierung von Workday Mobile für Ihre Mitarbeiter

Workday Mobile auf verschiedenen Geräten zu aktivieren ist ganz einfach. Die App ist mit jedem Gerät kompatibel. Führen Sie dazu die folgenden Schritte aus:

1. Aktivieren Sie die folgenden mobilen Domänen im Funktionsbereich des Systems und fügen Sie Benutzer hinzu:

  • Android: Mobile Nutzung
  • iPad: Mobile Nutzung
  • iPhone: Mobile Nutzung

2. Aktivieren Sie „Single-sign-on” (Einmalanmeldung) unter „Edit Tenant Setup – Security” (Mandant bearbeiten - Sicherheit)

  • Um „Single Sign-on” (Einmalanmeldung) zu aktivieren, aktualisieren Sie wie von Ihrem Identitätsanbieter (IDP) gefordert die Login-Redirect-URL für die mobile App sowie die Login-Redirect-URL für den mobilen Browser.
  • Aktivieren Sie anhand Ihrer Unternehmensrichtlinie die biometrische Authentifizierung und die mobile PIN-Authentifizierung. Definieren Sie die maximale/minimale Länge der PIN, die maximale Anzahl fehlgeschlagener Anmeldeversuche und das Höchstalter der mobilen Authentifizierung.

3. Erstellen oder bearbeiten Sie vorhandene Authentifizierungsrichtlinien, um die Benutzeranmeldung und sowie die Verwendung der biometrischen Authentifizierung und der mobilen PIN durch die Benutzer zu steuern.

 

Das Sicherheitsmodell für Workday Mobile

Workday verwendet über alle Plattformen hinweg ein „einheitliches” Sicherheitsmodell. Das Modell ist völlig unabhängig von Gerätetypen. Folglich wird dem Benutzer der Zugriff unabhängig davon, welchen Gerätetyp er benutzt, konsistent gewährt oder verweigert. Der Zugriff ist über alle Plattformen hinweg konsistent, da er auf der Basis dieser Sicherheitsrichtlinie erfolgt. Das gilt auch für Desktop-Computer. Einige Aufgaben sind möglicherweise nicht in der mobilen App verfügbar. Diese Aufgaben sind in dem Bericht „List Tasks Available on Mobile” (Liste mit mobil verfügbaren Aufgaben) aufgeführt.

Der Zugriff auf die App Workday Mobile kann für einen Benutzer eingeschränkt werden, wenn er sich außerhalb eines Whitelist-Netzwerks anmeldet. Diese Einschränkung gilt für alle Geräte. Eine Einschränkung des Zugriffs nach Gerätetyp (d. h. Workday Mobile App oder Desktop außerhalb des Netzwerks) ist nicht möglich.

 

Der Standpunkt von Alight

Empfehlungen für die Verwendung innerhalb/außerhalb des Netzwerks

Zugriffsbeschränkungen (Diese Empfehlungen gelten für alle Gerätetypen)

Benutzer

Nur innerhalb des Netzwerks zulassen

Sowohl innerhalb als auch außerhalb des Netzwerks erlaubt

Kommentare

Mitarbeiter

Exportieren nach PDF/Excel 

Check-In/Out 

Posteingangsfreigabe 

Zahlungsoptionen

Download von Anhängen (eingeschränkt) 

Posteingang: Vollständige Aktionen/Aufgaben

Zahlungsoptionen sollten ohne Multifaktor-Authentifizierung nur im Firmennetzwerk geändert werden dürfen. 

Für Check-In/Out sollte es keinen Zugang außerhalb des Netzwerks geben, es sei denn, es gibt einen speziellen geschäftlichen Grund dafür. 

Manager

Download von Anhängen (eingeschränkt) 

Check-In/Out 

Exportieren nach PDF/Excel 

Zahlungsoptionen

Posteingangsfreigabe 

Posteingang: Vollständige Aktionen/Aufgaben

Manager sollten nicht berechtigt sein, Daten in Bezug auf Mitarbeiter, die sie unterstützen, herunterzuladen.

Administratoren

Download von Anhängen (eingeschränkt) 

Check-In/Out 

Exportieren nach PDF/Excel 

Posteingangsfreigabe 

Posteingang: Vollständige Aktionen/Aufgaben 

Zahlungsoptionen

 

Administratoren und HR-Funktionen sollten keinen Zugriff außerhalb des Netzwerks haben, es sei denn, es gibt einen speziellen geschäftlichen Grund dafür.

Diese Empfehlungen können mit Hilfe einer Sicherheitsgruppe (wer), eines Authentifizierungstyp (wie), IP-Bereichen (wo) und Zugriffsbeschränkungen (was) in der Authentifizierungsrichtlinie erreicht werden. Bitte beachten Sie: Die Authentifizierungsrichtlinie unterscheidet nicht zwischen Gerätetypen.

Zusätzliche Empfehlungen

AUSSERHALB DES FIRMENNETZWERKS

  • Erkundigen Sie sich bei Ihrem Datensicherheitsteam, ob Ihre Unternehmensrichtlinien die Freigabe des Datenzugriffs außerhalb eines Unternehmensnetzwerks gestatten. Bestätigen Sie, welche Daten auf Geräten im persönlichen Besitz erlaubt sein sollen. Für mobile Geräte: Erkundigen Sie sich, ob mobile Geräte im Unternehmensnetzwerk gestattet sind und welche Ebene des Datenzugriffs innerhalb/außerhalb des Netzwerks für mobile Geräte/private mobile Endgeräte (Bring your own device; BYOD) erlaubt ist.
  • Die Anwendung von Workday-Authentifizierungsrichtlinien wäre zu überlegen.
  • Für den Zugriff außerhalb des Unternehmensnetzwerks empfiehlt sich die Multi-Faktor-Authentifizierung. Wenn Sie SSO/SAML für die Anmeldung bei Workday verwenden, muss sich die Multi-Faktor-Authentifizierung im Besitz Ihres Identitätsanbieters befinden.

 

WORKDAY MOBILE APP

  • Die App Workday Mobile bietet nur eine Präsentationsschicht. Das bedeutet. auf dem mobilen Gerät werden keine Geschäftsdaten gespeichert oder zwischenspeichert. Workday speichert einfache Einstellungen, wie die Internetadresse des Mandanten und den Mandantennamen. Eine Ausnahme ist das Betrachten von PDF- oder Excel-Dateien. In Workday werden diese Dateien für die Dauer der Sitzung zwischengespeichert. Wie oben erwähnt, kann der Dateiexport durch eine Authentifizierungsrichtlinie eingeschränkt werden.
  • Ein System zur Verwaltung mobiler Geräte könnte hilfreich sein, damit die Benutzer die mobile App über ein VPN verwenden. Workday erlaubt kein „App-Wrapping”.

MOBILE SETUP UNDER TENANT SETUP – SYSTEM (MOBILE EINRICHTUNG UNTER DER EINRICHTUNG DES MANDANTEN – SYSTEM)

Beschreibung 

Empfehlung 

Kommentare 

Importieren oder Teilen von Anhängen aus externen Quellen ermöglichen 

Prüfen Sie Folgendes: 

Prüfen Sie, ob Ihre Unternehmensrichtlinie angemessen ist. Der Virenscan von Workday beschränkt sich derzeit auf die Produkte Workday Recruiting und Workday Student. Alle anderen Uploads, die authentifizierte Benutzer vornehmen, werden nicht gescannt. 

Check-In/Out auf dem Mobilgerät deaktivieren 

Prüfen Sie Folgendes: 

Wenn Sie Check-In/Out über die Zugriffsbeschränkung in der Authentifizierungsrichtlinie steuern, kann diese Option deaktiviert bleiben. Prüfen Sie in der Unternehmensrichtlinie, ob dies angemessen ist. 

My Report auf dem Mobilgerät deaktivieren 

Prüfen Sie Folgendes: 

Der Zugriff auf das Workday-Laufwerk W: ist auf Mobilgeräten in der Regel nicht erforderlich. 

„Add to Contact” (Zu Kontakt hinzufügen) deaktivieren 

Deaktivieren 

Deaktiviert den Befehl „Add to Contact” (Zu Kontakt hinzufügen) aus dem Menü Aktion in Mitarbeiterprofilen auf mobilen Geräten. 

„Mail to” (E-Mail an) deaktivieren 

Deaktivieren 

Verhindert, dass auf einem mobilen Gerät vorhandene native Mail-Apps geöffnet werden, wenn der Benutzer in Workday Mobile einen Link anklickt. 

Von Screenshots abhalten 

Prüfen Sie Folgendes: 

Eine Warnmeldung auf iPad- und iPhone-Geräten verbietet die Aufnahme von Screenshots. Auf Android-Geräten wird der Screenshot unscharf. 

Links zum mobilen App-Store deaktivieren 

Deaktivieren 

Erleichtert die Übernahme der Anwendung. 

Links zur automatischen Mandanten-Konfiguration deaktivieren 

Deaktivieren 

Erleichtert die Übernahme der Anwendung. 

Was es zu beachten gibt

Bei der Aktivierung und dem Einstieg in Workday Mobile sind einige Punkte zu beachten.

  • Für mobile Geräte aktivierte Posteingangselemente können unabhängig von der Authentifizierungsrichtlinie bearbeitet werden.
  • Browser für mobile Geräte imitieren den Desktop-Zugriff.
  • Verlässt ein Benutzer bei vorhandener Authentifizierungsrichtlinie das Netzwerk, bleibt eine gegenwärtig authentifizierte Sitzung im Unternehmensnetzwerk so lange aktiv, bis die Sitzung abläuft oder der Benutzer sich abmeldet.

 

Mehr erfahren

Als aktiver Workday-Kunde finden Sie hier weitere Informationen über die Dokumentation von Workday zur mobilen Einrichtung und zu bewährten Methoden.

Related Insights


HR-Trends 2021: Self-Services für ein besseres Mitarbeitererlebnis

Self Services durch cloudbasierte HCM-Systeme gehören zu den Top-Themen in HR: Sie entlasten Personalabteilungen von Routineaufgaben, steigern das Employee Engagement und fördern die Kommunikation auch dann, wenn persönliche Kontakte fehlen.

Workday Leitfaden zur Restrukturierung

Unser Workday Leitfaden für Restrukturierungsmaßnahmen kann Ihnen dabei helfen, den Überblick zu behalten. Mehr erfahren.