Oversigt over enhedshåndtering for frontlinemedarbejdere
Oversigt
På tværs af alle brancher udgør frontlinjearbejdere et stort segment af arbejdsstyrken. Frontlinemedarbejderroller omfatter detailmedarbejdere, fabriksmedarbejdere, teknikere i marken og service, sundhedspersonale og mange flere.
Da arbejdsstyrken i høj grad er mobil og ofte skiftebaseret, er administration af de enheder, som frontlinjemedarbejdere bruger, en afgørende forudsætning. Nogle spørgsmål, du skal overveje:
- Bruger arbejdere enheder, der ejes af virksomheden, eller deres egne personlige enheder?
- Deles enheder, der ejes af virksomheden, mellem arbejdstagere eller tildeles til en person?
- Tager arbejdstagere enheder med hjem eller forlader dem på arbejdspladsen?
Det er vigtigt at angive en sikker grundlinje, der overholder angivne standarder, for at administrere enheder for din arbejdsstyrke, uanset om det er delte enheder eller arbejderes egne enheder.
I denne artikel får du et overblik over almindelige scenarier med frontlinemedarbejdere og administrationsfunktioner, der hjælper dig med at styrke din arbejdsstyrke, samtidig med at du sikrer virksomhedens data. Brug oplysningerne og overvejelserne til at planlægge installationen af frontlineenheder.
Enhedsinstallation
Et vigtigt trin i planlægningen er at finde ud af, hvordan du installerer mobilenheder på din frontlinje og de operativsystemer, der skal understøttes. Tag disse beslutninger på forhånd, så du kan evaluere gennemførligheden af din implementeringsplan og it-infrastruktur med disse faktorer i tankerne.
Installationsmodeller
Delte enheder og BYOD (bring-your-own-device) er de mest anvendte enhedstyper, der bruges i frontlinjeorganisationer. I følgende tabel vises disse installationsmodeller sammen med andre og relaterede overvejelser.
| Enhedstype | Beskrivelse | Hvorfor bruge | Overvejelser i forbindelse med installation |
|---|---|---|---|
| Delte enheder | Enheder, der ejes og administreres af din organisation. Medarbejdere får adgang til enheder, mens de er på arbejde. |
Medarbejderproduktivitet og kundeoplevelse er en topprioritet. Arbejdstagere kan ikke få adgang til organisationsressourcer, når de ikke er på arbejde. Lokale love kan forhindre, at personlige enheder bruges til forretningsmæssige formål. |
Definer, hvordan din frontline logger på og af enheden. Overvej at bruge Microsoft Entra politikker for betinget adgang til at sikre delte enheder, når multifaktorgodkendelse ikke er en mulighed. |
| BYOD (Bring-your-own device) | Personlige enheder, der ejes af brugeren og administreres af din organisation. | Du vil give medarbejderne en nem måde at kontrollere vagttidsplaner på, chatte med kolleger om skift eller få adgang til HR-ressourcer, f.eks. deres lønningsbib. Delte enheder eller dedikerede enheder kan være upraktiske ud fra et omkostnings- eller forretningsparathedsperspektiv. |
Personlige enheder varierer i operativsystem, lager og forbindelse. Brug af personlige enheder kan være i strid med unionsregler eller offentlige bestemmelser. Nogle medarbejdere har muligvis ikke pålidelig adgang til en personlig mobilenhed. |
| Dedikerede enheder1 | Enheder, der ejes og administreres af din organisation og udstedt til en enkelt bruger. | Arbejderen kræver et dedikeret telefonnummer for at modtage opkald og tekster. Organisationen kræver fuld kontrol over enheden, og hvordan medarbejderne bruger den. |
Omkostninger til dedikeret hardware. Det er muligvis ikke muligt at gøre en ekstra indsats for udrulning og understøttelseskompleksitet på feltplaceringer. |
| Kioskenheder2 | Enheder, der ejes og administreres af din organisation. Brugerne behøver ikke at logge på eller af. | Enheden har et dedikeret formål. Use case kræver ikke brugergodkendelse. |
Samarbejds-, kommunikations-, opgave- og arbejdsprocesapps skal have en brugeridentitet for at fungere. Det er ikke muligt at overvåge brugeraktivitet. Nogle sikkerhedsfunktioner, herunder MFA, kan ikke bruges. |
1Dedikerede enheder er ualmindelige i frontlinjeudrulninger primært på grund af høje omkostninger og indsats for at administrere i forbindelse med høj personaleudskiftninger.
2Udrulninger af kioskenheder anbefales ikke, fordi de ikke tillader brugerovervågning og brugerbaserede sikkerhedsfunktioner, f.eks. multifaktorgodkendelse.
Få mere at vide om kioskenheder.
I denne artikel fokuserer vi på delte enheder og BYOD, da disse er de udrulningsmodeller, der passer til de praktiske behov i de fleste frontline-udrulninger. Læs videre for at få en oversigt over planlægningsovervejelser og administrationsfunktioner.
Enhedsoperativsystem
Den udrulningsmodel, du vælger, bestemmer delvist de enhedsoperativsystemer, du understøtter. Det kan f.eks. være:
- Hvis du implementerer en model til delte enheder, bestemmer det operativsystem, du vælger, hvilke funktioner der er tilgængelige. Windows-enheder understøtter f.eks. indbygget muligheden for at gemme flere brugerprofiler for automatisk logon og nem godkendelse med Windows Hello. Med Android og iOS gælder der flere trin og forudsætninger.
- Hvis du implementerer en BYOD-model, skal du understøtte både Android- og iOS-enheder.
| Enhedsoperativsystemer | Overvejelser |
|---|---|
| Androide |
Begrænsede oprindelige funktioner til lagring af flere brugerprofiler på enheder. Android-enheder kan tilmeldes i delt enhedstilstand for at automatisere enkeltlogon og logge af og målrette politikker for betinget adgang. Robust administration af kontrolelementer og API'er. Eksisterende økosystem af enheder, der er bygget til frontlinebrug. |
| iOS og iPadOS | iOS-enheder kan tilmeldes i delt enhedstilstand for at automatisere enkeltlogon og logge af. Det er muligt at gemme flere brugerprofiler på iPadOS-enheder med Delt iPad for Business. |
| Windows | Oprindelig understøttelse af lagring af flere brugerprofiler på enheden. Understøtter Windows Hello til godkendelse uden adgangskode. Forenklede udrulnings- og administrationsfunktioner, når de bruges sammen med Microsoft Intune. |
Enheden er liggende
Når du planlægger udrulningen af din enhed, er der overvejelser på tværs af flere overfladeområder. I dette afsnit beskrives landskabet og de begreber, du skal kende.
Administration af mobilenheder
MDM-løsninger (Mobile Device Management), f.eks. Microsoft Intune, forenkler udrulning, administration og overvågning af enheder.
En enhed kan kun tilmeldes i én MDM-løsning, men du kan bruge flere MDM-løsninger til at administrere separate grupper af enheder. Du kan f.eks. bruge VMware Workspace ONE eller SOTI MobiControl til delte enheder og Intune for BYOD. Hvis du bruger flere MDM-løsninger, skal du huske på, at nogle brugere muligvis ikke kan få adgang til delte enheder på grund af en uoverensstemmelse i politikker for betinget adgang eller MAM-politikker (Mobile Application Management).
Hvis du bruger en MDM-løsning fra tredjepart, kan du integrere med Intune partneroverholdelse for at drage fordel af betinget adgang for enheder, der administreres af MDM-løsninger fra tredjepart.
Appstartere til Android-enheder
En appstarter er en app, der giver dig mulighed for at give en fokuseret oplevelse for din frontlinje med en brugerdefineret startskærm, f.eks. apps, tapet og ikonpositioner. Du kan kun få vist de relevante apps, som frontlinjemedarbejderne skal bruge, og widgets, der fremhæver vigtige oplysninger.
De fleste MDM-løsninger leverer deres egen appstarter. Microsoft Intune leverer f.eks. appen Microsoft Managed Home Screen. Du kan også oprette din egen brugerdefinerede starter.
I følgende tabel vises nogle af de mest almindelige appstartere, der i dag er tilgængelige til Android-enheder af Microsoft og tredjepartsudviklere.
| Appstarter | Funktionaliteter |
|---|---|
| Microsoft Managed Home Screen | Brug Administreret startskærm, når brugerne skal have adgang til et bestemt sæt apps på dine Intune tilmeldte dedikerede enheder. Da Administreret startskærm kan startes automatisk som standardstartskærmen på enheden og vises for brugeren som den eneste startskærm, er den nyttig i scenarier med delte enheder, når der kræves en låst oplevelse. Få mere at vide. |
| VMware Workspace ONE Launcher | Hvis du bruger VMware, er Arbejdsområde ONE Launcher et værktøj til at organisere et sæt apps, som din frontlinje skal have adgang til. VMware Workspace ONE Launcher understøtter i øjeblikket ikke delt enhedstilstand. Få mere at vide. |
| SOTI | Hvis du bruger SOTI, er SOTI-appstarteren det bedste værktøj til at organisere et sæt apps, som din frontlinje skal have adgang til. SOTI-appstarteren understøtter delt enhedstilstand i dag. |
| Blåfletch | BlueFletch Launcher kan bruges på enheder, uanset din MDM-løsning. BlueFletch understøtter delt enhedstilstand i dag. Få mere at vide. |
| Brugerdefineret appstarter | Hvis du vil have en fuldt tilpasset oplevelse, kan du bygge din egen brugerdefinerede appstarter. Du kan integrere startprogrammet med delt enhedstilstand, så brugerne kun skal logge på og af én gang. |
Identitetsstyring
Microsoft 365 til frontlinjemedarbejdere bruger Microsoft Entra ID som den underliggende identitetstjeneste til levering og sikring af alle apps og ressourcer. Brugerne skal have en identitet, der findes i Microsoft Entra ID for at få adgang til Microsoft 365-apps.
Hvis du vælger at administrere frontlinebrugeridentiteter med Active Directory-domæneservices (AD DS) eller en identitetsudbyder fra tredjepart, skal du samle disse identiteter for at Microsoft Entra ID. Få mere at vide om, hvordan du integrerer din tredjepartstjeneste med Microsoft Entra ID.
De mulige implementeringsmønstre til administration af frontlineidentiteter omfatter:
- Microsoft Entra enkeltstående: Din organisation opretter og administrerer bruger-, enheds- og app-identiteter i Microsoft Entra ID som en separat identitetsløsning til dine frontlinjearbejdsbelastninger. Dette implementeringsmønster anbefales, da det forenkler arkitekturen for frontline-udrulningen og maksimerer ydeevnen under brugerlogon.
- AD DS-integration (Active Directory-domæneservices) med Microsoft Entra ID: Microsoft leverer Microsoft Entra Opret forbindelse for at deltage i disse to miljøer. Microsoft Entra Connect replikerer Active Directory-brugerkonti til Microsoft Entra ID, hvilket gør det muligt for en bruger at have en enkelt identitet, der kan få adgang til både lokale og cloudbaserede ressourcer. Selvom både AD DS og Microsoft Entra ID kan findes som uafhængige katalogmiljøer, kan du vælge at oprette hybridmapper.
- Synkronisering af identitetsløsning fra tredjepart med Microsoft Entra ID: Microsoft Entra ID understøtter integration med identitetsudbydere fra tredjepart, f.eks. Okta og Ping Identity via sammenslutning. Få mere at vide om brug af identitetsudbydere fra tredjepart.
Klargøring af HR-drevet bruger
Automatisering af brugerklargøring er et praktisk behov for organisationer, der ønsker, at frontlinjemedarbejdere kan få adgang til apps og ressourcer på dag 1. Fra et sikkerhedsperspektiv er det også vigtigt at automatisere af klargøring under medarbejderens offboarding for at sikre, at tidligere medarbejdere ikke bevarer adgangen til virksomhedens ressourcer.
Microsoft Entra brugerklargøringstjeneste integreres med cloudbaserede HR-apps, f.eks. Workday og SAP SuccessFactors. Du kan konfigurere tjenesten til at automatisere klargøring og klargøring af brugere, når en medarbejder oprettes eller deaktiveres i HR-systemet.
Du kan få mere at vide under:
- Hvad er HR-drevet klargøring med Microsoft Entra ID?
- Planlæg en automatisk udrulning af brugerklargøring for Microsoft Entra ID
Deleger brugeradministration med Mit personale
Med funktionen Mit personale i Microsoft Entra ID kan du delegere almindelige brugeradministrationsopgaver til frontlinjeadministratorer via portalen Mit personale. Frontlineadministratorer kan udføre nulstilling af adgangskode eller administrere telefonnumre for frontlinjemedarbejdere direkte fra butikken eller fabriksgulvet uden at skulle distribuere anmodningerne om helpdesk, drift eller it.
Mit personale giver også frontlineledere mulighed for at registrere deres teammedlemmers telefonnumre til sms-logon. Hvis SMS-baseret godkendelse er aktiveret i din organisation, kan frontlinemedarbejdere logge på Teams og andre apps ved kun at bruge deres telefonnumre og en engangsadgangskode, der sendes via SMS. Det gør det nemt og hurtigt for frontlinjearbejdere at logge på.
Tilstand for delt enhed
Med funktionen til delt enhedstilstand i Microsoft Entra ID kan du konfigurere enheder, der skal deles af medarbejdere. Denne funktion giver mulighed for enkeltlogon (SSO) og enhedslogon til Teams og alle andre apps, der understøtter delt enhedstilstand.
Her kan du se, hvordan delt enhedstilstand fungerer, f.eks. ved hjælp af Teams. Når en medarbejder logger på Teams i starten af deres vagt, er vedkommende automatisk logget på alle andre apps, der understøtter delt enhedstilstand på enheden. Når de logger af Teams i slutningen af deres vagt, er de logget af alle andre apps, der understøtter delt enhedstilstand. Efter at have logget af kan medarbejderens data og firmadata i Teams og i alle andre apps, der understøtter delt enhedstilstand, ikke længere tilgås. Enheden er klar til brug for den næste medarbejder.
Du kan integrere denne funktion i dine line of business-apps (LOB) ved hjælp af Microsoft Authentication Library (MSAL).
Godkendelse
Godkendelsesfunktioner styrer, hvem eller hvad der bruger en konto til at få adgang til programmer, data og ressourcer.
Som tidligere nævnt bruger Microsoft 365 til frontlinjearbejdere Microsoft Entra ID som den underliggende identitetstjeneste til sikring af Microsoft 365-apps og -ressourcer. Du kan få mere at vide om godkendelse i Microsoft Entra ID under Hvad er Microsoft Entra godkendelse? og Hvilke godkendelses- og kontrolmetoder er tilgængelige i Microsoft Entra ID?.
Multifaktorgodkendelse
Microsoft Entra multifaktorgodkendelse fungerer ved at kræve to eller flere af følgende godkendelsesmetoder ved logon:
- Noget, som brugeren ved, typisk en adgangskode.
- Noget, som brugeren har, f.eks. en enhed, der er tillid til, og som ikke nemt duplikeres, f.eks. en telefon eller hardwarenøgle.
- Noget, som brugeren er – biometriske data, f.eks. et fingeraftryk eller ansigtsscanning.
MFA understøtter flere former for kontrolmetoder, herunder Microsoft Authenticator-appen, FIDO2-nøgler, SMS og taleopkald.
MFA giver et højt sikkerhedsniveau for apps og data, men det øger gnidningsfri brugerlogon. For organisationer, der vælger BYOD-installationer, er MFA måske eller måske ikke en praktisk mulighed. Det anbefales på det kraftigste, at forretnings- og tekniske teams validerer brugeroplevelsen med MFA før en bred udrulning, så brugerens indvirkning kan overvejes korrekt i forbindelse med administration af ændringer og parathedsbestræbelser.
Hvis MFA ikke er praktisk for din organisation eller udrulningsmodel, skal du planlægge at bruge robuste politikker for betinget adgang til at reducere sikkerhedsrisikoen.
Godkendelse uden adgangskode
Hvis du vil forenkle adgangen yderligere for din frontlinearbejdsstyrke, kan du bruge godkendelsesmetoder uden adgangskode, så medarbejderne ikke behøver at huske eller angive deres adgangskoder. Godkendelsesmetoder uden adgangskode fjerner brugen af en adgangskode ved logon og erstatter den med:
- Noget, som brugeren har, f.eks. en telefon eller en sikkerhedsnøgle.
- Noget, som brugeren er eller ved, f.eks. biometriske data eller en pinkode.
Godkendelsesmetoder uden adgangskode er typisk også mere sikre, og mange kan opfylde MFA-krav, hvis det er nødvendigt.
Før du fortsætter med en godkendelsesmetode uden adgangskode, skal du afgøre, om den kan fungere i dit eksisterende miljø. Overvejelser som omkostninger, understøttelse af operativsystemet, krav til personlig enhed og MFA-support kan påvirke, om en godkendelsesmetode vil fungere efter dine behov.
Se følgende tabel for at vurdere godkendelsesmetoder uden adgangskode til dit frontline-scenarie.
| Metode | Understøttelse af operativsystem | Kræver personlig enhed | Understøtter MFA |
|---|---|---|---|
| Microsoft Authenticator | Alle | Ja | Ja |
| Sms-logon | Android og iOS | Ja | Nej |
| Windows Hello | Windows | Nej | Ja |
| FIDO2-nøgle | Windows | Nej | Ja |
Du kan få mere at vide under Godkendelsesindstillinger uden adgangskode for Microsoft Entra ID og Konfigurer og aktivér brugere til SMS-baseret godkendelse ved hjælp af Microsoft Entra ID.
Autorisation
Autorisationsfunktioner styrer, hvad en godkendt bruger kan foretage sig eller få adgang til. I Microsoft 365 opnås dette via en kombination af Microsoft Entra politikker for betinget adgang og politikker for appbeskyttelse.
Implementering af robuste godkendelseskontroller er en vigtig komponent i sikringen af en installation af frontline-delte enheder, især hvis det ikke er muligt at implementere stærke godkendelsesmetoder, f.eks. MFA, af hensyn til omkostninger eller praktiske årsager.
Microsoft Entra betinget adgang
Med Betinget adgang kan du oprette regler, der begrænser adgangen baseret på følgende signaler:
- Bruger- eller gruppemedlemskab
- Oplysninger om IP-placering
- Enhed (kun tilgængelig, hvis enheden er tilmeldt Microsoft Entra ID)
- App
- Registrering af risici i realtid og beregnet risiko
Politikker for betinget adgang kan bruges til at blokere adgang, når en bruger er på en enhed, der ikke overholder politikken, eller når vedkommende er på et netværk, der ikke er tillid til. Det kan f.eks. være, at du vil bruge Betinget adgang til at forhindre brugerne i at få adgang til en lagerapp, når de ikke er på arbejdsnetværket eller bruger en ikke-administreret enhed, afhængigt af din organisations analyse af gældende love.
I BYOD-scenarier, hvor det giver mening at få adgang til data uden for arbejdet, f.eks. HR-relaterede oplysninger, skiftstyring, chat om skift eller ikke-forretningsrelaterede apps, kan du vælge at implementere mere tilladte politikker for betinget adgang sammen med stærke godkendelsesmetoder som MFA.
Du kan få mere at vide i dokumentationen Microsoft Entra Betinget adgang.
Politikker for appbeskyttelse
Med MAM (Mobile Application Management) fra Intune kan du bruge politikker til beskyttelse af apps med apps, der er integreret med Intune App SDK. Dette giver dig mulighed for yderligere at beskytte din organisations data i en app.
Med politikker for appbeskyttelse kan du tilføje sikkerhedsforanstaltninger for adgangskontrol, f.eks.:
- Styr delingen af data mellem apps.
- Undgå lagring af firmaappdata på en personlig lagerplacering.
- Sørg for, at enhedens operativsystem er opdateret.
I en udrulning af delte enheder kan du bruge politikker for appbeskyttelse til at sikre, at data ikke lækker til apps, der ikke understøtter delt enhedstilstand. I BYOD-scenarier er politikker for appbeskyttelse nyttige, fordi de giver dig mulighed for at beskytte dine data på appniveau uden at skulle administrere hele enheden.
Begræns adgangen til Teams, når frontlinjemedarbejdere ikke er på skift
Med arbejdstidsfunktionen kan du bruge politikker for appbeskyttelse til at begrænse adgangen til Teams for skifteholdsarbejdere på BYOD- eller virksomhedsejede dedikerede enheder. Med denne funktion kan du blokere adgang eller vise en advarsel, når frontlinjemedarbejdere får adgang til Teams i fritiden.
Du kan få mere at vide under Begræns adgang til Teams, når frontlinjemedarbejdere er på frihold.