Správa zařízení pro pracovníky v první linii
V každém odvětví tvoří pracovníci v první linii velkou část pracovníků. Mezi role pracovníků v první linii patří pracovníci maloobchodního prodeje, pracovníci v továrně, technici v terénu a služby, zdravotníci a mnoho dalších.
Přehled
Vzhledem k tomu, že pracovní síla je z velké části mobilní a často založená na směnách, je správa zařízení, která pracovníci v první linii používají, klíčovou zásadou. Několik otázek, které je potřeba zvážit:
- Používají pracovníci zařízení vlastněná společností nebo vlastní osobní zařízení?
- Jsou zařízení vlastněná společností sdílená mezi pracovníky nebo přiřazená jednotlivci?
- Vezmou si pracovníci zařízení domů, nebo je nechávají na pracovišti?
Je důležité nastavit zabezpečený a vyhovující směrný plán pro správu zařízení pro vaše pracovníky, ať už se jedná o sdílená zařízení nebo vlastní zařízení pracovníků. Tento článek poskytuje přehled běžných scénářů zařízení a možností správy pracovníků v první linii, které vám pomůžou posílit pracovní sílu a současně zabezpečit firemní data.
Typy zařízení
Sdílená, vlastní a beznabídová zařízení jsou nejběžnější typy zařízení, které používají pracovníci v první linii.
| Typ zařízení | Popis | Proč používat | Důležité informace o nasazení |
|---|---|---|---|
| Sdílená zařízení | Zařízení vlastní a spravuje vaše organizace. Zaměstnanci mají přístup k zařízením v práci. | Produktivita pracovníků a zkušenosti zákazníků jsou nejvyšší prioritou. Pracovníci nemají přístup k prostředkům organizace, když nejsou v práci. Místní zákony můžou bránit používání osobních zařízení pro obchodní účely. |
Přihlášení nebo odhlášení může pracovní prostředí třecí plochy. Potenciál neúmyslného sdílení citlivých dat |
| Používání vlastních zařízení (BYOD) | Osobní zařízení vlastní uživatel a spravuje je vaše organizace. | Vaše stávající řešení správy mobilních zařízení (MDM) brání vaší organizaci v přijetí modelu sdílených zařízení. Sdílená zařízení nebo vyhrazená zařízení můžou být nepraktické z hlediska nákladů nebo připravenosti pro firmy. |
Složitost podpory nemusí být v umístěních v terénu možná proveditelná. Osobní zařízení se liší operačním systémem, úložištěm a připojením. Někteří pracovníci nemusí mít spolehlivý přístup k osobnímu mobilnímu zařízení. V případě, že pracovníci přistupují ke zdrojům, aniž by je obsluhovali, by vám mohla vzniknout potenciální odpovědnost za mzdy. Používání osobního zařízení může být v rozporu s pravidly unie nebo vládními předpisy. |
| Zařízení s beznabídkový | Zařízení vlastní a spravuje vaše organizace. Uživatelé se nemusí přihlašovat ani odhlašovat. | Zařízení má vyhrazený účel. Případ použití nevyžaduje ověření uživatele. |
Aplikace pro spolupráci, komunikaci, úkoly a pracovní postupy potřebují identitu uživatele, aby fungovaly. Aktivity uživatelů není možné auditovat. Nelze použít některé možnosti zabezpečení, včetně vícefaktorového ověřování. |
Sdílená zařízení a BYOD se běžně používají v nasazeních v první linii. Můžete použít funkce, které jsou popsány v následujících částech tohoto článku, které můžou vyřešit nebo zmírnit obavy vaší organizace ohledně uživatelského prostředí, neoprávněného přístupu pracovníků k datům a prostředků a schopnosti nasazovat a spravovat zařízení ve velkém měřítku.
Poznámka
Nasazení zařízení v celoobrazovkovém režimu se nedoporučuje, protože neumožňují auditování uživatelů a možnosti zabezpečení založené na uživatelích, jako je vícefaktorové ověřování. Přečtěte si další informace o zařízeních s beznabídkovým režimem.
Sdílená zařízení
Mnoho pracovníků v první linii používá k práci sdílená mobilní zařízení. Sdílená zařízení jsou zařízení vlastněná společností, která se sdílejí mezi zaměstnanci napříč úkoly, směnami nebo umístěními.
Tady je příklad typického scénáře. Organizace má v nabíjecích kolébkách fond zařízení, která se mají sdílet mezi všemi zaměstnanci. Na začátku směny zaměstnanec vezme zařízení z fondu a přihlásí se do Teams a dalších obchodních aplikací, které jsou pro jeho roli nezbytné. Na konci směny se odhlásí a vrátí zařízení do fondu. Dokonce i během stejné směny může pracovník vrátit zařízení, když dokončí úkol nebo odjeje na oběd, a pak si při návratu vyzvedne jiné zařízení.
Sdílená zařízení představují jedinečné výzvy zabezpečení. Zaměstnanci můžou mít například přístup k firemním nebo zákaznickým datům, která by neměla být dostupná ostatním na stejném zařízení.
Osobní zařízení (BYOD)
Některé organizace používají model přineste si vlastní zařízení (BYOD), ve kterém pracovníci v první linii používají vlastní mobilní zařízení pro přístup k Teams a dalším firemním aplikacím. Tady je přehled některých způsobů správy přístupu a dodržování předpisů na osobních zařízeních.
Operační systém zařízení
Model nasazení, který vyberete, částečně určí operační systémy zařízení, které podporujete. Pokud například implementujete model BYOD, budete muset podporovat zařízení s Androidem i iOS. Pokud implementujete model sdílených zařízení, bude o dostupných možnostech rozhodovat operační systém zařízení, který zvolíte. Zařízení s Windows například nativně podporují možnost ukládat více profilů uživatelů pro automatické přihlašování a snadné ověřování pomocí Windows Hello. S Androidem a iOSem platí další kroky a požadavky.
| Operační systém zařízení | Úvahy |
|---|---|
| Windows | Nativní podpora ukládání více profilů uživatelů na zařízení Podporuje Windows Hello pro ověřování bez hesla. Zjednodušené možnosti nasazení a správy při použití s Microsoft Intune |
| Android | Omezené nativní možnosti pro ukládání více profilů uživatelů na zařízeních Zařízení s Androidem je možné zaregistrovat v režimu sdíleného zařízení, aby se automatizovalo jednotné přihlašování a odhlašování. Robustní správa ovládacích prvků a rozhraní API Stávající ekosystém zařízení vytvořených pro použití v první linii |
| iOS a iPadOS | Zařízení s iOSem je možné zaregistrovat v režimu sdíleného zařízení, aby se automatizovalo jednotné přihlašování a odhlášení. Ukládání více profilů uživatelů na zařízeních s iPadOS je možné pomocí sdíleného iPadu pro firmy. Podmíněný přístup není u sdíleného iPadu pro firmy dostupný kvůli způsobu, jakým Apple rozděluje uživatelské profily. |
V nasazení sdílených zařízení jsou praktické požadavky pro nasazení v první linii možnost uložit na zařízení více profilů uživatelů, aby se zjednodušilo přihlašování uživatelů, a možnost vymazat data aplikace od předchozího uživatele (jednotné odhlášení). Tyto funkce jsou nativní na zařízeních s Windows a iPadech používajících sdílený iPad pro firmy.
Identita uživatele
Microsoft 365 for frontline worker používá id Microsoft Entra jako podkladovou službu identit pro doručování a zabezpečení všech aplikací a prostředků. Uživatelé musí mít identitu, která existuje v id Microsoft Entra, aby mohli přistupovat ke cloudovým aplikacím Microsoft 365.
Pokud se rozhodnete spravovat identity uživatelů v první linii pomocí služby Active Directory Domain Services (AD DS) nebo zprostředkovatele identity třetí strany, budete muset tyto identity federovat, abyste mohli Microsoft Entra ID. Zjistěte, jak integrovat službu třetí strany s ID Microsoft Entra.
Mezi možné způsoby implementace pro správu identit v první linii patří:
- Microsoft Entra samostatně: Vaše organizace vytváří a spravuje identity uživatelů, zařízení a aplikací ve Microsoft Entra ID jako samostatné řešení identit pro vaše úlohy v první linii. Tento model implementace se doporučuje, protože zjednodušuje architekturu nasazení v první linii a maximalizuje výkon při přihlašování uživatelů.
- Integrace Active Directory Domain Services (AD DS) s ID Microsoft Entra: Microsoft poskytuje Microsoft Entra Connect pro propojení těchto dvou prostředí. Microsoft Entra Connect replikuje uživatelské účty AD do Microsoft Entra ID, což uživateli umožňuje mít jedinou identitu, která může přistupovat k místním i cloudovým prostředkům. I když služba AD DS i ID Microsoft Entra můžou existovat jako nezávislá adresářová prostředí, můžete se rozhodnout vytvořit hybridní adresáře.
- Synchronizace řešení identit třetích stran s ID Microsoft Entra: id Microsoft Entra podporuje integraci s zprostředkovateli identit třetích stran, jako je Okta a Ping Identity, prostřednictvím federace. Přečtěte si další informace o používání zprostředkovatelů identit třetích stran.
Zřizování uživatelů řízené hrou
Automatizace zřizování uživatelů je praktická potřeba pro organizace, které chtějí, aby zaměstnanci v první linii měli přístup k aplikacím a prostředkům od prvního dne. Z hlediska zabezpečení je také důležité automatizovat zrušení zřízení během rušení registrace zaměstnanců, aby se zajistilo, že si předchozí zaměstnanci nezachovají přístup k prostředkům společnosti.
Microsoft Entra služba zřizování uživatelů se integruje s cloudovými a místními aplikacemi HR, jako jsou Workday a SAP SuccessFactors. Službu můžete nakonfigurovat tak, aby automatizovala zřizování a rušení zřizování uživatelů při vytvoření nebo zakázání zaměstnance v systému lidských zdrojů.
Moji zaměstnanci
Pomocí funkce Moji pedagogové v Microsoft Entra ID můžete prostřednictvím portálu Moji pedagogové delegovat běžné úlohy správy uživatelů na vedoucí pracovníky v první linii. Správci frontové linky můžou resetovat hesla nebo spravovat telefonní čísla pracovníků v první linii přímo z obchodu nebo továrny, aniž by museli směrovat žádosti na helpdesk, provozní oddělení nebo IT.
Moji zaměstnanci také umožňují vedoucím pracovníkům v první linii zaregistrovat telefonní čísla členů týmu pro přihlášení pomocí SMS. Pokud je ve vaší organizaci povolené ověřování pomocí SMS , pracovníci v první linii se můžou přihlásit k Teams a dalším aplikacím jenom pomocí svých telefonních čísel a jednorázového hesla odeslaného prostřednictvím SMS. Díky tomu je přihlašování pro pracovníky v první linii jednoduché, bezpečné a rychlé.
Správa mobilních zařízení
Řešení správy mobilních zařízení (MDM) můžou zjednodušit nasazení, správu a monitorování zařízení. Microsoft Intune nativně podporuje funkce důležité pro nasazení sdílených zařízení pro pracovníky v první linii. Mezi tyto možnosti patří:
- Bezdotykové zřizování: Správci IT můžou registrovat a předem konfigurovat mobilní zařízení bez fyzického úschovy zařízení (pro ruční konfiguraci). Tato funkce je užitečná při nasazování sdílených zařízení ve velkém měřítku do umístění v terénu, protože zařízení je možné odeslat přímo do zamýšleného umístění v první linii, kde je možné vzdáleně dokončit automatizované kroky konfigurace a zřizování.
- Jednotné odhlášení: Zastaví procesy na pozadí a automatizuje odhlášení uživatelů ve všech aplikacích a prostředcích přiřazených předchozímu uživateli, když se přihlásí nový uživatel. Zařízení s Androidem a iOSem musí být zaregistrovaná v režimu sdíleného zařízení, aby bylo možné používat jednotné odhlášení.
- Microsoft Entra podmíněný přístup: Správci IT můžou implementovat automatizovaná rozhodnutí o řízení přístupu pro cloudové aplikace a prostředky prostřednictvím signálů řízených identitami. Je například možné zabránit přístupu ze sdíleného zařízení nebo zařízení BYOD, které nemá nainstalované nejnovější aktualizace zabezpečení. Přečtěte si další informace o tom, jak zabezpečit nasazení.
Pokud pro nasazení sdílených zařízení používáte řešení MDM od jiného výrobce, jako je VMware Workspace ONE nebo SOTI MobiControl, je důležité pochopit související možnosti, omezení a dostupná alternativní řešení.
Některé MDM třetích stran můžou vymazat data aplikací, když na zařízení s Androidem dojde ke globálnímu odhlášení. Při vymazání dat aplikací ale můžou chybět data uložená ve sdíleném umístění, odstranit nastavení aplikace nebo způsobit, že se znovu objeví prostředí při prvním spuštění. Zařízení s Androidem zaregistrovaná v režimu sdíleného zařízení můžou selektivně vymazat potřebná data aplikace během ohlášení zařízení nebo když se k zařízení přihlásí nový uživatel. Přečtěte si další informace o ověřování v režimu sdíleného zařízení.
Režim sdíleného zařízení můžete ručně nakonfigurovat v řešeníCH MDM třetích stran pro zařízení s iOSem a Androidem, ale ruční kroky konfigurace neoznačí zařízení vyhovující Microsoft Entra ID, což znamená, že podmíněný přístup není v tomto scénáři podporovaný. Pokud se rozhodnete ručně nakonfigurovat zařízení v režimu sdíleného zařízení, budete muset provést další kroky k opětovné registraci zařízení s Androidem v režimu sdíleného zařízení s nulovým dotykovým zřizováním, abyste získali podporu podmíněného přístupu, když je dostupná podpora MDM třetích stran, a to odinstalací a opětovnou instalací aplikace Authenticator ze zařízení.
Zařízení je možné zaregistrovat pouze v jednom řešení MDM, ale můžete použít několik řešení MDM ke správě samostatných fondů zařízení. Můžete například použít Pracovní prostor ONE pro sdílená zařízení a Intune pro BYOD. Pokud používáte více řešení MDM, mějte na paměti, že někteří uživatelé nemusí mít přístup ke sdíleným zařízením kvůli neshodě zásad podmíněného přístupu.
| Řešení MDM | Jednotné odhlášení | Bezdotykové zřizování | Microsoft Entra podmíněného přístupu |
|---|---|---|---|
| Intune (Microsoft) | Podporováno pro zařízení s Androidem a iOSem zaregistrovaná v režimu sdíleného zařízení | Podporováno pro zařízení s Androidem a iOSem zaregistrovaná v režimu sdíleného zařízení | Podporováno pro zařízení s Androidem a iOSem zaregistrovaná v režimu sdíleného zařízení |
| Workspace ONE (VMware) | Podporuje funkce Vymazat data aplikací pro Android . Nedostupné pro iOS | Momentálně není k dispozici pro Android a iOS. | Momentálně není k dispozici pro Android a iOS. |
| MobiControl (SOTI) | Podporuje se funkcemi vymazání dat programu . Není k dispozici pro iOS. | Momentálně není k dispozici pro Android a iOS. | Momentálně není k dispozici pro Android a iOS. |
Zařízení s Windows zaregistrovaná v Intune podporují jednotné odhlášení, bezdotykové zřizování a Microsoft Entra podmíněný přístup. Na zařízeních s Windows nemusíte konfigurovat režim sdíleného zařízení.
Intune se doporučuje pro scénáře modelu BYOD, protože poskytuje nejlepší podporu a funkce pro různé typy zařízení.
Registrace osobních zařízení s Androidem a iOSem
Kromě zařízení vlastněných vaší společností můžete do správy v Intune zaregistrovat zařízení uživatelů v osobním vlastnictví. U registrace BYOD přidáte uživatele zařízení v Centru pro správu Microsoft Intune, nakonfigurujete jejich prostředí pro registraci a nastavíte zásady Intune. Uživatelé dokončí registraci sami v aplikaci Portál společnosti Intune, která je nainstalovaná na jejich zařízení.
V některých případech se uživatelé nemusí zdráhat zaregistrovat svá osobní zařízení do správy. Pokud registrace zařízení není možná, můžete zvolit přístup ke správě mobilních aplikací (MAM) a použít zásady ochrany aplikací ke správě aplikací, které obsahují podniková data. Můžete například použít zásady ochrany aplikací pro Teams a mobilní aplikace Office, abyste zabránili kopírování firemních dat do osobních aplikací na zařízení.
Další informace najdete v tématu Osobní zařízení a zařízení vlastněná organizací v průvodci plánováním Intune a Pokyny k nasazení: Registrace zařízení v Microsoft Intune.
Ověřování
Funkce ověřování řídí, kdo nebo co používá účet k získání přístupu k aplikacím, datům a prostředkům. Organizace nasazující sdílená zařízení pracovníkům v první linii potřebují ovládací prvky ověřování, které neohrožují produktivitu pracovníků a zároveň brání neoprávněnému nebo neúmyslnému přístupu k aplikacím a datům při přenosu zařízení mezi ověřenými uživateli.
První řešení Microsoftu se dodává z cloudu a využívá id Microsoft Entra jako základní službu identit pro zabezpečení aplikací a prostředků Microsoftu 365. Tyto funkce ověřování v Microsoft Entra ID řeší jedinečné aspekty nasazení sdílených zařízení: automatické jednotné přihlašování, jednotné odhlašování a další metody silného ověřování.
Režim sdíleného zařízení
Režim sdíleného zařízení je funkce id Microsoft Entra, která umožňuje nakonfigurovat zařízení tak, aby je sdíleli zaměstnanci. Tato funkce umožňuje jednotné přihlašování (SSO) a odhlašování v rámci celého zařízení pro Microsoft Teams a všechny ostatní aplikace, které podporují režim sdíleného zařízení. Tuto funkci můžete integrovat do obchodních aplikací pomocí knihovny Microsoft Authentication Library (MSAL). Jakmile je zařízení v režimu sdíleného zařízení, aplikace využívající knihovnu Microsoft Authentication Library (MSAL) můžou zjistit, že běží na sdíleném zařízení, a určit, kdo je aktuální aktivní uživatel. S těmito informacemi můžou aplikace provádět tyto ovládací prvky ověřování:
- Automatické jednotné přihlašování: Pokud se uživatel již přihlásil k jiné aplikaci MSAL, bude přihlášen do jakékoli aplikace kompatibilní s režimem sdíleného zařízení. Jedná se o vylepšení oproti předchozímu prostředí jednotného přihlašování, protože se tím dále zkracuje doba potřebná k přístupu k aplikacím po přihlášení k první aplikaci tím, že uživatel nemusí vybrat dříve přihlášený účet.
- Jednotné odhlášení: Jakmile se uživatel odhlásí z aplikace pomocí MSAL, všechny ostatní aplikace integrované v režimu sdíleného zařízení můžou zastavit procesy na pozadí a zahájit procesy mazání dat, aby se zabránilo neoprávněnému nebo neúmyslnému přístupu dalšího uživatele.
Tady je postup, jak funguje režim sdíleného zařízení, například pomocí Teams. Když se zaměstnanec na začátku směny přihlásí k Teams, automaticky se přihlásí ke všem ostatním aplikacím, které podporují režim sdíleného zařízení na zařízení. Když se na konci směny odhlásí z Teams, odhlásí se globálně ze všech ostatních aplikací, které podporují režim sdíleného zařízení. Po odhlášení už nebude možné získat přístup k datům zaměstnance a firemním datům v Teams (včetně aplikací hostovaných v této aplikaci) a ve všech ostatních aplikacích, které podporují režim sdíleného zařízení. Zařízení je připravené pro dalšího zaměstnance a dá se bezpečně předat.
Režim sdíleného zařízení je vylepšením funkce vymazání dat aplikací pro Android, protože umožňuje vývojářům aplikací selektivně vymazat osobní data uživatelů, aniž by to mělo vliv na nastavení aplikace nebo data v mezipaměti. V režimu sdíleného zařízení se neodstraní příznaky, které aplikaci umožňují pamatovat si, jestli se zobrazí první spuštění, takže se uživatelům při každém přihlášení nezobrazí první spuštění.
Režim sdíleného zařízení také umožňuje, aby se zařízení zaregistrovalo do Microsoft Entra ID pro všechny uživatele, takže můžete snadno vytvořit profily, které na sdíleném zařízení zabezpečí používání aplikací a dat. To vám umožní podporovat podmíněný přístup, aniž byste museli zařízení znovu registrovat pokaždé, když se v zařízení ověří nový uživatel.
Pomocí řešení správy mobilních zařízení (MDM), jako je Microsoft Intune nebo Microsoft Configuration Manager, můžete zařízení na sdílení připravit instalací aplikace Microsoft Authenticator a zapnutím sdíleného režimu. Teams a všechny ostatní aplikace, které podporují režim sdíleného zařízení, používají nastavení sdíleného režimu ke správě uživatelů na zařízení. Řešení MDM, které používáte, by také mělo provést vyčištění zařízení, když dojde k odhlášení.
Poznámka
Režim sdíleného zařízení není řešením úplné ochrany před únikem informací. Režim sdíleného zařízení by se měl používat ve spojení se zásadami Microsoft Application Manageru (MAM), aby se zajistilo, že data nebudou unikat do oblastí zařízení, které nevyužívá režim sdíleného zařízení (např. místní úložiště souborů).
Požadavky a důležité informace
Abyste mohli používat režim sdíleného zařízení, musíte splnit následující požadavky.
- Zařízení musí mít nejprve nainstalovanou aplikaci Microsoft Authenticator.
- Zařízení musí být zaregistrované v režimu sdíleného zařízení.
- Všechny aplikace, které potřebují tyto výhody, se musí integrovat s rozhraními API režimu sdíleného zařízení v knihovně MSAL.
Zásady MAM se vyžadují, aby se zabránilo přesunu dat z aplikací s povoleným režimem sdíleného zařízení do aplikací s povoleným režimem sdíleného zařízení.
V současné době je bezdotykové zřizování režimu sdíleného zařízení dostupné jenom s Intune. Pokud používáte řešení MDM od jiného výrobce, musí být zařízení zaregistrovaná v režimu sdíleného zařízení pomocí kroků ruční konfigurace.
Poznámka
Podmíněný přístup není plně podporovaný pro ručně nakonfigurovaná zařízení.
Některé aplikace Microsoft 365 v současné době nepodporují režim sdíleného zařízení. Následující tabulka shrnuje, co je k dispozici. Pokud v aplikaci, kterou potřebujete, chybí integrace režimu sdíleného zařízení, doporučujeme spustit webovou verzi aplikace v Microsoft Teams nebo Microsoft Edgi, abyste získali výhody režimu sdíleného zařízení.
Režim sdíleného zařízení je v současné době podporovaný na zařízeních s Androidem. Tady jsou některé zdroje informací, které vám pomůžou začít.
Registrace zařízení s Androidem do režimu sdíleného zařízení
Pokud chcete spravovat a registrovat zařízení s Androidem do režimu sdíleného zařízení pomocí Intune, musí zařízení používat operační systém Android verze 8.0 nebo novější a musí mít připojení Google Mobile Services (GMS). Více k tomu najdete tady:
- Nastavení registrace Intune pro vyhrazená zařízení s Androidem Enterprise
- Registrace vyhrazených zařízení s Androidem Enterprise do režimu Microsoft Entra sdíleného zařízení
Můžete také nasadit aplikaci Microsoft Spravovaná domovská obrazovka a přizpůsobit prostředí uživatelům na vyhrazených zařízeních s Androidem zaregistrovaných v Intune. Spravovaná domovská obrazovka funguje jako spouštěč pro další schválené aplikace, které se na něm spouštějí, a umožňuje přizpůsobit zařízení a omezit, k čemu mají zaměstnanci přístup. Můžete například definovat, jak se aplikace budou zobrazovat na domovské obrazovce, přidat logo společnosti, nastavit vlastní tapetu a umožnit zaměstnancům nastavit PIN relace. Můžete dokonce nakonfigurovat automatické odhlášení po zadané době nečinnosti. Více k tomu najdete tady:
- Konfigurace aplikace Microsoft Spravovaná domovská obrazovka pro Android Enterprise
- Jak nastavit Microsoft Spravovaná domovská obrazovka na vyhrazených zařízeních v beznabídkovém režimu s více aplikacemi
Pro vývojáře, kteří vytvářejí aplikace pro režim sdíleného zařízení
Pokud jste vývojář, podívejte se na následující zdroje informací, kde najdete další informace o tom, jak integrovat aplikaci s režimem sdíleného zařízení:
Vícefaktorové ověřování
Microsoft Entra ID podporuje několik forem vícefaktorového ověřování pomocí aplikace Authenticator, klíčů FIDO2, SMS, hlasových hovorů a dalších.
Vzhledem k vyšším nákladům a právním omezením nemusí být nejbezpečnější metody ověřování pro mnoho organizací praktické. Například klíče zabezpečení FIDO2 jsou obvykle považovány za příliš drahé, biometrické nástroje, jako je Windows Hello, můžou být v rozporu se stávajícími předpisy nebo pravidly sjednocení a přihlášení přes SMS nemusí být možné, pokud pracovníci v první linii nemají dovoleno přivést svá osobní zařízení do práce.
vícefaktorové ověřování poskytuje vysokou úroveň zabezpečení aplikací a dat, ale zvyšuje neustálé třecí plochy přihlašování uživatelů. Pro organizace, které si zvolí nasazení BYOD, může nebo nemusí být vícefaktorové ověřování praktickou možností. Důrazně doporučujeme, aby obchodní a technické týmy před širším zaváděním ověřily uživatelské prostředí s vícefaktorovým ověřováním, aby bylo možné řádně zvážit dopad na uživatele při správě změn a připravenosti.
Pokud vícefaktorové ověřování není pro vaši organizaci nebo model nasazení proveditelné, měli byste naplánovat využití robustních zásad podmíněného přístupu ke snížení rizika zabezpečení.
Ověřování bez hesla
Pokud chcete ještě více zjednodušit přístup pracovníkům v první linii, můžete využít metody ověřování bez hesla, aby si pracovníci nemuseli pamatovat nebo zadávat svá hesla. Metody ověřování bez hesla jsou také obvykle bezpečnější a mnoho z nich může v případě potřeby splňovat požadavky vícefaktorového ověřování.
Než budete pokračovat s metodou ověřování bez hesla, budete muset zjistit, jestli může fungovat ve vašem stávajícím prostředí. Aspekty, jako jsou náklady, podpora operačního systému, požadavky na osobní zařízení a podpora vícefaktorového ověřování, můžou mít vliv na to, jestli by metoda ověřování fungovala pro vaše potřeby. Například klíče zabezpečení FIDO2 jsou v současné době považovány za příliš drahé a přihlášení přes SMS a authenticator nemusí být možné, pokud pracovníci v první linii nemají povoleno používat svá osobní zařízení do práce.
V tabulce najdete informace o posouzení metod ověřování bez hesla pro scénář front-line.
| Metoda | Podpora operačního systému | Vyžaduje osobní zařízení. | Podporuje vícefaktorové ověřování. |
|---|---|---|---|
| Přihlášení přes SMS | Android a iOS | Ano | Ne |
| Windows Hello | Windows | Ne | Ano |
| Microsoft Authenticator | Vše | Ano | Ano |
| Klíč FIDO2 | Windows | Ne | Ano |
Pokud nasazujete se sdílenými zařízeními a předchozí možnosti bez hesla nejsou možné, můžete zakázat požadavky na silné heslo, aby uživatelé mohli při přihlašování ke spravovaným zařízením zadávat jednodušší hesla. Pokud se rozhodnete zakázat požadavky na silné heslo, měli byste zvážit přidání těchto strategií do plánu implementace.
- Zakažte jenom požadavky na silné heslo pro uživatele sdílených zařízení.
- Vytvořte zásadu podmíněného přístupu, která těmto uživatelům zabrání v přihlášení k nesdílených zařízením v nedůvěryhodných sítích.
Autorizace
Autorizační funkce určují, co může ověřený uživatel dělat nebo k čemu může přistupovat. V Microsoftu 365 se toho dosahuje kombinací zásad podmíněného přístupu Microsoft Entra a zásad ochrany aplikací.
Implementace robustních ovládacích prvků autorizace je důležitou součástí zabezpečení nasazení sdílených zařízení v první linii, zejména pokud není možné implementovat silné metody ověřování, jako je vícefaktorové ověřování (MFA) z důvodů nákladů nebo z praktických důvodů.
Microsoft Entra podmíněného přístupu
S podmíněným přístupem můžete vytvořit pravidla, která omezují přístup na základě následujících signálů:
- Členství uživatelů nebo skupin
- Informace o umístění IP adresy
- Zařízení (dostupné jenom v případě, že je zaregistrované v Microsoft Entra ID)
- Application
- Detekce rizik v reálném čase a vypočítaná
Zásady podmíněného přístupu se dají použít k blokování přístupu, když je uživatel na zařízení, které nedodržuje předpisy, nebo když je v nedůvěryhodné síti. Podmíněný přístup můžete použít například k tomu, abyste uživatelům zabránili v přístupu k aplikaci inventáře, když nejsou v pracovní síti nebo používají nespravované zařízení, a to v závislosti na analýze platných zákonů vaší organizace.
Ve scénářích modelu BYOD, kde má smysl přistupovat k datům mimo práci, jako jsou například informace související s hrou nebo aplikace nesouvisejí s podnikáním, můžete se rozhodnout implementovat zásady podmíněného přístupu s většími omezeními a silnými metodami ověřování, jako je vícefaktorové ověřování.
Podmíněný přístup se podporuje pro:
- Sdílená zařízení s Windows spravovaná v Intune
- Sdílená zařízení s Androidem a iOSem zaregistrovaná v režimu sdíleného zařízení se zřizováním bez dotykového ovládání
- ByOD pro Windows, Android a iOS spravované pomocí Intune nebo řešení MDM třetích stran
Podmíněný přístup se nepodporuje pro:
- Zařízení ručně nakonfigurovaná v režimu sdíleného zařízení, včetně zařízení s Androidem a iOSem spravovaných pomocí řešení MDM třetích stran.
- Zařízení iPad, která používají sdílený iPad pro firmy.
Poznámka
Podmíněný přístup pro zařízení s Androidem spravovaná pomocí vybraných řešení MDM třetích stran bude brzy k dispozici.
Další informace o podmíněném přístupu najdete v dokumentaci Microsoft Entra podmíněný přístup.
zásady Ochrana aplikací
S MAM z Intune můžete používat zásady ochrany aplikací (APP) s aplikacemi, které jsou integrované se sadou INTUNE APP SDK. To vám umožní dále chránit data vaší organizace v rámci aplikace.
Pomocí zásad ochrany aplikací můžete přidat bezpečnostní opatření řízení přístupu, například:
- Vyžadovat PIN kód k otevření aplikace v pracovním kontextu.
- Řízení sdílení dat mezi aplikacemi
- Zabránění ukládání dat firemních aplikací do osobního úložiště
- Ujistěte se, že je operační systém zařízení aktuální.
Můžete také použít AP, abyste zajistili, že data nebudou unikat do aplikací, které nepodporují režim sdíleného zařízení. Aby se zabránilo ztrátě dat, musí být na sdílených zařízeních povolené následující protokoly AP:
- Zakažte kopírování a vkládání do aplikací s povoleným režimem nesdílených zařízení.
- Zakažte ukládání místních souborů.
- Zakažte možnosti přenosu dat do aplikací s povoleným režimem nesdílených zařízení.
App jsou užitečné ve scénářích byod, protože umožňují chránit vaše data na úrovni aplikace, aniž byste museli spravovat celé zařízení. To je důležité ve scénářích, kdy zaměstnanci můžou mít zařízení spravované jiným tenantem (například univerzitou nebo jiným zaměstnavatelem) a nemůžou ho spravovat jiná společnost.
Správa aplikací
Plán nasazení by měl zahrnovat inventář a posouzení aplikací, které budou pracovníci v první linii potřebovat k práci. Tato část se zabývá aspekty a nezbytnými kroky, které zajistí, aby uživatelé měli přístup k požadovaným aplikacím a aby prostředí bylo optimalizované v kontextu implementace v první linii.
Pro účely tohoto hodnocení jsou aplikace rozdělené do tří skupin:
- Aplikace Microsoftu vytváří a podporuje Microsoft. Aplikace Microsoftu podporují id Microsoft Entra a integraci se sadou Intune APP SDK. Režim sdíleného zařízení ale nepodporuje všechny aplikace Microsoftu. [Podívejte se na seznam podporovaných aplikací a dostupnosti.] (ověřovací záložka)
- Aplikace třetích stran vytváří a komerčně prodává externí poskytovatel. Některé aplikace nepodporují ID Microsoft Entra, sadu INTUNE APP SDK ani režim sdíleného zařízení. Spolupracujte s poskytovatelem aplikace a týmem účtu Microsoft a ověřte, jaké bude uživatelské prostředí.
- Vaše organizace vyvíjí vlastní obchodní aplikace, které řeší interní obchodní potřeby. Pokud vytváříte aplikace pomocí Power Apps, aplikace se automaticky povolí s Microsoft Entra ID, Intune a režimem sdíleného zařízení.
Aplikace, ke kterým přistupují uživatelé v první linii, splňují tyto požadavky (podle potřeby) pro povolení globálního jednorázového a jednotného odhlášení.
- Integrace vlastních aplikací a aplikací třetích stran se službou MSAL: Uživatelé se můžou ve vašich aplikacích ověřovat pomocí ID Microsoft Entra, povolit jednotné přihlašování a použít zásady podmíněného přístupu.
- Integrace aplikací s režimem sdíleného zařízení (platí jenom pro sdílená zařízení s Androidem nebo iOSem): Aplikace můžou pomocí potřebných rozhraní API režimu sdíleného zařízení v MSAL provádět automatické jednotné přihlašování a jednotné odhlašování. Vhodné použití těchto rozhraní API umožňuje integraci s režimem sdíleného zařízení. To není nutné, pokud aplikaci používáte v Teams, Microsoft Edgi nebo PowerApps.
- Integrace se sadou INTUNE APP SDK (platí jenom pro sdílená zařízení s Androidem nebo iOSem): Aplikace je možné spravovat v Intune, aby se zabránilo neúmyslnému nebo neoprávněnému odhalení dat. To není nutné, pokud MDM provádí vymazání dat aplikací, které během toků vracení zařízení se změnami vymaže všechna citlivá data (jednotné odhlášení).
Po úspěšném ověření aplikací je můžete nasadit do spravovaných zařízení pomocí řešení MDM. To vám umožní předinstalovat všechny potřebné aplikace během registrace zařízení, aby uživatelé měli vše, co potřebují v první den.
Spouštěče aplikací pro zařízení s Androidem
Na zařízeních s Androidem je nejlepším způsobem, jak zajistit lepší prostředí, jakmile zaměstnanec otevře zařízení, poskytnout přizpůsobenou úvodní obrazovku. S přizpůsobenou úvodní obrazovkou můžete zobrazit jenom relevantní aplikace, které zaměstnanec potřebuje používat, a widgety, které zvýrazňují klíčové informace.
Většina řešení MDM poskytuje vlastní spouštěč aplikací, který je možné použít. Microsoft například poskytuje Spravovaná domovská obrazovka. Pokud chcete vytvořit vlastní spouštěč aplikací pro sdílená zařízení, budete ho muset integrovat s režimem sdíleného zařízení, aby jednotné přihlašování a jednotné odhlášení fungovalo na vašich zařízeních. V následující tabulce jsou uvedeny některé z nejběžnějších spouštěčů aplikací, které jsou dnes dostupné microsoftem a vývojáři třetích stran.
| Spouštěč aplikací | Schopnosti |
|---|---|
| Spravovaná domovská obrazovka | Spravovaná domovská obrazovka použijte, když chcete, aby koncoví uživatelé měli přístup ke konkrétní sadě aplikací na vyhrazených zařízeních zaregistrovaných v Intune. Vzhledem k tomu, že Spravovaná domovská obrazovka se dá automaticky spustit jako výchozí domovská obrazovka na zařízení a koncovému uživateli se zobrazí jako jediná domovská obrazovka, je užitečné ve scénářích sdílených zařízení, když se vyžaduje uzamčené prostředí. |
| Microsoft Launcher | Microsoft Launcher umožňuje uživatelům přizpůsobit si telefon, udržovat si přehled na cestách a přenášet si práci z telefonu na počítač. Microsoft Launcher se liší od Spravovaná domovská obrazovka tím, že umožňuje koncovým uživatelům přístup ke standardní domovské obrazovce. Microsoft Launcher je proto užitečný ve scénářích BYOD. |
| VMware Workspace ONE Launcher | Pro zákazníky, kteří používají VMware, je Workspace ONE Launcher nejlepším nástrojem pro správu sady aplikací, ke kterým potřebují přístup vaši pracovníci v první linii. Možnost odhlášení z tohoto spouštěče také umožňuje vymazat data aplikací pro Android pro jednotné odhlášení na zařízeních VMware. VMware Workspace ONE Launcher v současné době nepodporuje režim sdíleného zařízení. |
| Spouštěč vlastních aplikací | Pokud chcete plně přizpůsobené prostředí, můžete si vytvořit vlastní spouštěč aplikací. Spouštěč můžete integrovat s režimem sdíleného zařízení, aby se uživatelé museli přihlásit a odhlásit jenom jednou. |
Související články
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro