Administrer enheder for frontlinjearbejdere
På tværs af alle brancher udgør frontlinjearbejdere et stort segment af arbejdsstyrken. Frontlinemedarbejderroller omfatter detailmedarbejdere, fabriksmedarbejdere, teknikere i marken og service, sundhedspersonale og mange flere.
Oversigt
Da arbejdsstyrken i høj grad er mobil og ofte skiftebaseret, er administration af de enheder, som frontlinjemedarbejdere bruger, en afgørende forudsætning. Nogle spørgsmål, du skal overveje:
- Bruger arbejdere enheder, der ejes af virksomheden, eller deres egne personlige enheder?
- Deles enheder, der ejes af virksomheden, mellem arbejdstagere eller tildeles til en person?
- Tager arbejdstagere enheder med hjem eller forlader dem på arbejdspladsen?
Det er vigtigt at angive en sikker grundlinje, der overholder angivne standarder, for at administrere enheder for din arbejdsstyrke, uanset om det er delte enheder eller arbejderes egne enheder. I denne artikel får du et overblik over almindelige scenarier med frontlinemedarbejdere og administrationsfunktioner, der hjælper dig med at styrke din arbejdsstyrke, samtidig med at du sikrer virksomhedens data.
Enhedstyper
Delte enheder, medbring egne enheder og kioskenheder er de mest almindelige enhedstyper, der bruges af frontlinjearbejdere.
| Enhedstype | Beskrivelse | Hvorfor skal du bruge? | Overvejelser i forbindelse med installation |
|---|---|---|---|
| Delte enheder | Enheder ejes og administreres af din organisation. Medarbejdere får adgang til enheder, mens de er på arbejde. | Medarbejderproduktivitet og kundeoplevelse er en topprioritet. Arbejdere kan ikke få adgang til organisationsressourcer, mens de ikke er på arbejde. Lokale love kan forhindre, at personlige enheder bruges til forretningsmæssige formål. |
Log på/af kan føje friktion til arbejderoplevelsen. Mulighed for utilsigtet deling af følsomme data. |
| BYOD (Bring-your-own devices) | Personlige enheder ejes af brugeren og administreres af din organisation. | Din eksisterende MDM-løsning (Mobile Device Management) forhindrer din organisation i at indføre en model til delte enheder. Delte enheder eller dedikerede enheder kan være upraktiske ud fra et omkostnings- eller forretningsparathedsperspektiv. |
Det er muligvis ikke muligt at understøtte kompleksitet på placeringer i marken. Personlige enheder varierer i operativsystem, lager og forbindelse. Nogle medarbejdere har muligvis ikke pålidelig adgang til en personlig mobilenhed. Du kan pådrage dig et potentielt ansvar for lønninger, hvis arbejdstagere får adgang til ressourcer, mens de ikke er stemplet ind. Brug af personlige enheder kan være i strid med unionsregler eller offentlige bestemmelser. |
| Kioskenheder | Enheder ejes og administreres af din organisation. Brugerne behøver ikke at logge på eller af. | Enheden har et dedikeret formål. Use case kræver ikke brugergodkendelse. |
Samarbejds-, kommunikations-, opgave- og arbejdsprocesprogrammer skal bruge en brugeridentitet for at fungere. Det er ikke muligt at overvåge brugeraktivitet. Nogle sikkerhedsfunktioner, herunder multifaktorgodkendelse, kan ikke bruges. |
Delte enheder og BYOD bruges ofte i frontline-installationer. Du kan bruge funktioner, der beskrives i efterfølgende afsnit i denne artikel, kan løse eller afhjælpe din organisations bekymringer over brugeroplevelsen, uautoriseret medarbejderadgang til data og ressourcer og muligheden for at udrulle og administrere enheder i stor skala.
Bemærk!
Udrulninger af kioskenheder anbefales ikke, fordi de ikke tillader brugerovervågning og brugerbaserede sikkerhedsfunktioner, f.eks. multifaktorgodkendelse. Få mere at vide om kioskenheder.
Delte enheder
Mange frontlinjemedarbejdere bruger delte mobilenheder til at udføre arbejde. Delte enheder er enheder, der ejes af virksomheden, og som deles mellem medarbejdere på tværs af opgaver, skift eller placeringer.
Her er et eksempel på et typisk scenarie. En organisation har en pulje af enheder i opladningsholdere, der skal deles på tværs af alle medarbejdere. I starten af et skiftehold henter en medarbejder en enhed fra puljen og logger på Teams og andre virksomhedsapps, der er vigtige for deres rolle. I slutningen af deres vagt logger de af og returnerer enheden til puljen. Selv inden for samme skift returnerer en arbejder muligvis en enhed, når vedkommende afslutter en opgave eller stempler ud til frokost og derefter henter en anden, når vedkommende stempler ind igen.
Delte enheder udgør unikke sikkerhedsudfordringer. Medarbejdere kan f.eks. have adgang til firma- eller kundedata, der ikke bør være tilgængelige for andre på den samme enhed.
Personlige enheder (BYOD)
Nogle organisationer bruger en BYOD-model (bring-your-own-device), hvor frontlinjemedarbejdere bruger deres egne mobilenheder til at få adgang til Teams og andre virksomhedsapps. Her er en oversigt over nogle måder at administrere adgang og overholdelse af angivne standarder på personlige enheder på.
Enhedsoperativsystem
Den udrulningsmodel, du vælger, bestemmer delvist de enhedsoperativsystemer, du understøtter. Hvis du f.eks. implementerer en BYOD-model, skal du understøtte både Android- og iOS-enheder. Hvis du implementerer en model til delte enheder, bestemmer det enhedsoperativsystemer, du vælger, de tilgængelige funktioner. Windows-enheder understøtter f.eks. indbygget muligheden for at gemme flere brugerprofiler for automatisk logon og nem godkendelse med Windows Hello. Med Android og iOS gælder der flere trin og forudsætninger.
| Enhedsoperativsystemer | Overvejelser |
|---|---|
| Windows | Oprindelig understøttelse af lagring af flere brugerprofiler på enheden. Understøtter Windows Hello til godkendelse uden adgangskode. Forenklede udrulnings- og administrationsfunktioner, når de bruges sammen med Microsoft Intune. |
| Android | Begrænsede oprindelige funktioner til lagring af flere brugerprofiler på enheder. Android-enheder kan tilmeldes i tilstanden delt enhed for at automatisere enkeltlogon og logge af. Robust administration af kontrolelementer og API'er. Eksisterende økosystem af enheder, der er bygget til frontlinebrug. |
| iOS og iPadOS | iOS-enheder kan tilmeldes i delt enhedstilstand for at automatisere enkeltlogon og logge af. Det er muligt at gemme flere brugerprofiler på iPadOS-enheder med Delt iPad for Business. Betinget adgang er ikke tilgængelig med delt iPad for Business på grund af den måde, Apple partitioner brugerprofiler på. |
I en udrulning af delte enheder er muligheden for at gemme flere brugerprofiler på en enhed for at forenkle brugerlogon og muligheden for at rydde appdata fra den forrige bruger (enkeltlogon) praktiske krav til frontline-udrulninger. Disse funktioner er indbygget på Windows-enheder og iPads ved hjælp af delt iPad for Business.
Brugeridentitet
Microsoft 365 til frontlinjemedarbejdere bruger Microsoft Entra id som den underliggende identitetstjeneste til levering og sikring af alle programmer og ressourcer. Brugerne skal have en identitet, der findes i Microsoft Entra id for at få adgang til Microsoft 365-cloudprogrammer.
Hvis du vælger at administrere frontlinebrugeridentiteter med Active Directory-domæneservices (AD DS) eller en identitetsudbyder fra tredjepart, skal du samle disse identiteter til Microsoft Entra id. Få mere at vide om, hvordan du integrerer din tredjepartstjeneste med Microsoft Entra-id.
De mulige implementeringsmønstre til administration af frontlineidentiteter omfatter:
- Microsoft Entra enkeltstående: Din organisation opretter og administrerer bruger-, enheds- og programidentiteter i Microsoft Entra id som en separat identitetsløsning for dine frontlinearbejdsbelastninger. Dette implementeringsmønster anbefales, da det forenkler din frontline-udrulningsarkitektur og maksimerer ydeevnen under brugerlogon.
- AD DS-integration (Active Directory-domæneservices) med Microsoft Entra-id: Microsoft leverer Microsoft Entra Opret forbindelse for at deltage i disse to miljøer. Microsoft Entra Connect replikerer AD-brugerkonti til Microsoft Entra id, hvilket giver en bruger mulighed for at have en enkelt identitet, der kan få adgang til både lokale og cloudbaserede ressourcer. Selvom både AD DS og Microsoft Entra id kan findes som uafhængige katalogmiljøer, kan du vælge at oprette hybridmapper.
- Synkronisering af identitetsløsning fra tredjepart med Microsoft Entra-id: Microsoft Entra-id understøtter integration med identitetsudbydere fra tredjepart, f.eks. Okta og Ping Identity via sammenslutning. Få mere at vide om brug af identitetsudbydere fra tredjepart.
Klargøring af HR-drevet bruger
Automatisering af brugerklargøring er et praktisk behov for organisationer, der ønsker, at frontlinjemedarbejdere kan få adgang til programmer og ressourcer på dag 1. Fra et sikkerhedsperspektiv er det også vigtigt at automatisere af klargøring under medarbejderens offboarding for at sikre, at tidligere medarbejdere ikke bevarer adgangen til virksomhedens ressourcer.
Microsoft Entra brugerklargøringstjeneste integreres med cloudbaserede OG lokale HR-programmer, f.eks. Workday og SAP SuccessFactors. Du kan konfigurere tjenesten til at automatisere klargøring og klargøring af brugere, når en medarbejder oprettes eller deaktiveres i HR-systemet.
Mit personale
Med funktionen Mit personale i Microsoft Entra-id kan du delegere almindelige brugeradministrationsopgaver til frontlinjeledere via portalen Mit personale. Frontlineadministratorer kan udføre nulstilling af adgangskode eller administrere telefonnumre for frontlinjemedarbejdere direkte fra butikken eller fabriksgulvet uden at skulle distribuere anmodningerne om helpdesk, drift eller it.
Mit personale giver også frontlineledere mulighed for at registrere deres teammedlemmers telefonnumre til sms-logon. Hvis SMS-baseret godkendelse er aktiveret i din organisation, kan frontlinemedarbejdere logge på Teams og andre apps ved kun at bruge deres telefonnumre og en engangsadgangskode, der sendes via SMS. Det gør det nemt, sikkert og hurtigt at logge på frontlinjearbejdere.
Administration af mobilenheder
MDM-løsninger (Mobile Device Management) kan forenkle udrulning, administration og overvågning af enheder. Microsoft Intune understøtter oprindeligt funktioner, der er vigtige for udrulning af delte enheder til frontlinjearbejdere. Disse funktioner omfatter:
- Klargøring uden berøring: It-administratorer kan tilmelde og forudkonfigurere mobilenheder uden fysisk frihedsberøvelse af enhederne (til manuel konfiguration). Denne funktion er nyttig, når du udruller delte enheder i stor skala til feltplaceringer, fordi enheder kan sendes direkte til den tilsigtede frontlineplacering, hvor automatiserede konfigurations- og klargøringstrin kan udføres eksternt.
- Enkeltlogon: Stopper processer i baggrunden og automatiserer brugerlogon på tværs af alle programmer og ressourcer, der er tildelt den forrige bruger, når en ny bruger logger på. Android- og iOS-enheder skal være tilmeldt tilstanden delt enhed for at kunne bruge enkeltlogon.
- Microsoft Entra betinget adgang: It-administratorer kan implementere automatiserede beslutninger om adgangskontrol for cloudbaserede programmer og ressourcer via identitetsbaserede signaler. Det er f.eks. muligt at forhindre adgang for en delt eller BYOD-enhed, der ikke har de nyeste sikkerhedsopdateringer installeret. Få mere at vide om, hvordan du sikrer din installation.
Hvis du bruger en MDM-løsning fra tredjepart til udrulningen af dine delte enheder, f.eks. VMware's Workspace ONE eller SOTI MobiControl, er det vigtigt at forstå de tilknyttede funktioner, begrænsninger og tilgængelige løsninger.
Nogle MDM'er fra tredjepart kan rydde appdata, når der forekommer en global logon af en Android-enhed. Rydning af appdata kan dog gå glip af data, der er gemt på en delt placering, slette appindstillinger eller få oplevelser, der først køres, til at dukke op igen. Android-enheder, der er tilmeldt delt enhedstilstand, kan selektivt rydde de nødvendige programdata under enhedstjek, eller når den nye bruger logger på enheden. Få mere at vide om godkendelse i delt enhedstilstand.
Du kan manuelt konfigurere delt enhedstilstand i MDM-tredjepartsløsninger til iOS- og Android-enheder, men manuelle konfigurationstrin markerer ikke enhedens kompatible i Microsoft Entra id, hvilket betyder, at betinget adgang ikke understøttes i dette scenarie. Hvis du vælger at konfigurere enheder manuelt i delt enhedstilstand, skal du udføre yderligere trin for at tilmelde Android-enheder igen i delt enhedstilstand med klargøring uden berøring for at få understøttelse af betinget adgang, når mdm-understøttelse fra tredjepart er tilgængelig, ved at fjerne og geninstallere Authenticator fra enheden.
En enhed kan kun tilmeldes i én MDM-løsning, men du kan bruge flere MDM-løsninger til at administrere separate grupper af enheder. Du kan f.eks. bruge Arbejdsområde ONE til delte enheder og Intune til BYOD. Hvis du bruger flere MDM-løsninger, skal du huske på, at nogle brugere muligvis ikke kan få adgang til delte enheder på grund af en uoverensstemmelse i politikker for betinget adgang.
| MDM-løsning | Enkeltlogon af | Klargøring uden berøring | Microsoft Entra betinget adgang |
|---|---|---|---|
| Intune (Microsoft) | Understøttes for Android- og iOS-enheder, der er tilmeldt delt enhedstilstand | Understøttes for Android- og iOS-enheder, der er tilmeldt delt enhedstilstand | Understøttes for Android- og iOS-enheder, der er tilmeldt delt enhedstilstand |
| Arbejdsområde ONE (VMware) | Understøttes med Clear Android-appdatafunktioner . Ikke tilgængelig for iOS | Ikke tilgængelig for Android og iOS i øjeblikket. | Ikke tilgængelig for Android og iOS i øjeblikket. |
| MobiControl (SOTI) | Understøttes med funktionerne til sletning af programdata . Ikke tilgængelig for iOS. | Ikke tilgængelig for Android og iOS i øjeblikket. | Ikke tilgængelig for Android og iOS i øjeblikket. |
Windows-enheder, der er tilmeldt Intune, understøtter enkeltlogon, klargøring uden berøring og Microsoft Entra betinget adgang. Du behøver ikke at konfigurere tilstanden for delte enheder på Windows-enheder.
Intune anbefales til BYOD-scenarier, fordi det giver den bedste support og funktionalitet, der er klar til brug på tværs af enhedstyper.
Tilmeld personlige enheder til Android og iOS
Ud over dine enheder, der ejes af virksomheden, kan du tilmelde brugernes personligt ejede enheder til administration i Intune. I forbindelse med BYOD-tilmelding kan du tilføje enhedsbrugere i Microsoft Intune Administration, konfigurere deres tilmeldingsoplevelse og konfigurere Intune-politikker. Brugerne selv fuldfører tilmeldingen i den Intune-firmaportal app, der er installeret på deres enhed.
I nogle tilfælde kan brugerne være tilbageholdende med at tilmelde deres personlige enheder til administration. Hvis tilmelding af enheder ikke er en mulighed, kan du vælge en MAM-tilgang (Mobile Application Management) og bruge politikker for appbeskyttelse til at administrere apps, der indeholder virksomhedsdata. Du kan f.eks. anvende politikker for appbeskyttelse i Teams og Office-mobilapps for at forhindre, at virksomhedsdata kopieres til personlige apps på enheden.
Du kan få mere at vide under "Personlige enheder vs. enheder, der ejes af organisationen" i Intune-planlægningsvejledningen og installationsvejledningen: Tilmeld enheder i Microsoft Intune.
Godkendelse
Godkendelsesfunktioner styrer, hvem eller hvad der bruger en konto til at få adgang til programmer, data og ressourcer. Organisationer, der udruller delte enheder til frontlinjemedarbejdere, skal bruge godkendelseskontrolelementer, der ikke forhindrer arbejderproduktivitet, samtidig med at uautoriseret eller utilsigtet adgang til programmer og data forhindres, når enheder overføres mellem godkendte brugere.
Microsofts frontlineløsning leveres fra cloudmiljøet og bruger Microsoft Entra-id som den underliggende identitetstjeneste til sikring af Microsoft 365-programmer og -ressourcer. Disse godkendelsesfunktioner i Microsoft Entra id omhandler de entydige overvejelser i forbindelse med udrulninger af delte enheder: automatisk enkeltlogon, enkeltlogon og andre stærke godkendelsesmetoder.
Tilstand for delt enhed
Delt enhedstilstand er en funktion i Microsoft Entra id, der gør det muligt for dig at konfigurere enheder, der skal deles af medarbejdere. Denne funktion aktiverer enkeltlogon (SSO) og enhedslogon til Microsoft Teams og alle andre apps, der understøtter delt enhedstilstand. Du kan integrere denne funktion i dine line of business-apps (LOB) ved hjælp af Microsoft Authentication Library (MSAL). Når en enhed er i delt enhedstilstand, kan programmer, der udnytter Microsoft Authentication Library (MSAL), registrere, at de kører på en delt enhed, og bestemme, hvem den aktuelle aktive bruger er. Med disse oplysninger kan programmer udføre disse godkendelseskontrolelementer:
- Automatisk enkeltlogon: Hvis en bruger allerede er logget på et andet MSAL-program, vil brugeren være logget på et hvilket som helst program, der er kompatibelt med tilstanden Delt enhed. Dette er en forbedring af den forrige single sign-on-oplevelse, fordi det yderligere reducerer den tid, det tager at få adgang til programmer, efter at der er logget på det første program, ved at fjerne behovet for, at en bruger vælger en tidligere logget på-konto.
- Enkeltlogon: Når en bruger logger af en app ved hjælp af MSAL, kan alle andre programmer, der er integreret med delt enhedstilstand, stoppe baggrundsprocesser og påbegynde datarydningsprocesser for at forhindre uautoriseret eller utilsigtet adgang for den næste bruger.
Her kan du se, hvordan delt enhedstilstand fungerer, f.eks. ved hjælp af Teams. Når en medarbejder logger på Teams i starten af deres vagt, er vedkommende automatisk logget på alle andre apps, der understøtter delt enhedstilstand på enheden. Når de logger af Teams, er de logget af globalt fra alle andre apps, der understøtter delt enhedstilstand, når de logger af Teams. Efter at have logget af kan medarbejderens data og firmadata i Teams (herunder apps, der hostes i dem) og i alle andre apps, der understøtter delt enhedstilstand, ikke længere tilgås. Enheden er klar til den næste medarbejder og kan afleveres sikkert.
Tilstanden delt enhed er en forbedring af klar funktionalitet for appdata til Android, fordi den gør det muligt for programudviklere selektivt at rydde personlige brugerdata uden at påvirke appindstillingerne eller cachelagrede data. I forbindelse med delt enhedstilstand slettes de flag, der gør det muligt for et program at huske, om der vises en førstegangsoplevelse, ikke, så brugerne ikke kan se en førstegangsoplevelse, hver gang de logger på.
Delt enhedstilstand gør det også muligt for en enhed at blive tilmeldt Microsoft Entra id én gang for alle brugere, så du nemt kan oprette profiler, der sikrer app- og dataforbrug på den delte enhed. Dette giver dig mulighed for at understøtte betinget adgang uden at skulle tilmelde enheden igen, hver gang en ny bruger godkendes på enheden.
Du kan bruge en MDM-løsning (Mobile Device Management), f.eks. Microsoft Intune eller Microsoft Configuration Manager til at forberede en enhed, der skal deles, ved at installere Microsoft Authenticator-appen og aktivere delt tilstand. Teams og alle andre apps, der understøtter delt enhedstilstand, bruger indstillingen delt tilstand til at administrere brugere på enheden. Den MDM-løsning, du bruger, skal også udføre en enhedsoprydning, når der logges af.
Bemærk!
Delt enhedstilstand er ikke en komplet løsning til forebyggelse af datatab. Delt enhedstilstand skal bruges sammen med MAM-politikker (Microsoft Application Manager) for at sikre, at dataene ikke lækker til områder på enheden, der ikke udnytter delt enhedstilstand (f.eks. lokalt fillager).
Forudsætninger og overvejelser
Du skal opfylde følgende forudsætninger for at bruge delt enhedstilstand.
- Microsoft Authenticator skal først være installeret på enheden.
- Enheden skal være tilmeldt delt enhedstilstand.
- Alle de programmer, der har brug for disse fordele, skal integreres med API'erne til delt enhedstilstand i MSAL.
MAM-politikker er påkrævet for at forhindre, at data flyttes fra programmer, der er aktiveret til delt enhedstilstand, til programmer, der ikke er aktiveret til enhedstilstand.
Klargøring af delt enhedstilstand er i øjeblikket kun tilgængelig med Intune. Hvis du bruger en MDM-løsning fra tredjepart, skal enhederne være tilmeldt delt enhedstilstand ved hjælp af de manuelle konfigurationstrin.
Bemærk!
Betinget adgang understøttes ikke fuldt ud for enheder, der er konfigureret manuelt.
Nogle Microsoft 365-programmer understøtter i øjeblikket ikke tilstanden for delte enheder. I nedenstående tabel opsummeres det, der er tilgængeligt. Hvis det program, du har brug for, mangler integration af enhedstilstand, anbefales det, at du kører en webbaseret version af dit program i enten Microsoft Teams eller Microsoft Edge for at få fordelene ved delt enhedstilstand.
Delt enhedstilstand understøttes i øjeblikket på Android-enheder. Her er nogle ressourcer, der kan hjælpe dig med at komme i gang.
Tilmeld Android-enheder til delt enhedstilstand
Hvis du vil administrere og tilmelde Android-enheder i delt enhedstilstand ved hjælp af Intune, skal enheder køre Android OS version 8.0 eller nyere og have forbindelse til Google Mobile Services (GMS). Du kan få mere at vide under:
- Konfigurer Intune-tilmelding til dedikerede Android Enterprise-enheder
- Tilmeld Android Enterprise-dedikerede enheder i Microsoft Entra delt enhedstilstand
Du kan også vælge at installere Microsoft Managed Home Screen-appen for at skræddersy oplevelsen til brugere på deres Intune-tilmeldte Android-dedikerede enheder. Administreret startskærm fungerer som en startstarter, så andre godkendte apps kan køre oven på den, og giver dig mulighed for at tilpasse enheder og begrænse, hvad medarbejdere har adgang til. Du kan f.eks. definere, hvordan apps vises på startskærmen, tilføje dit firmalogo, angive brugerdefinerede baggrunde og give medarbejderne tilladelse til at angive en pinkode til sessionen. Du kan endda konfigurere, at logon sker automatisk efter en angivet periode med inaktivitet. Du kan få mere at vide under:
- Konfigurer Microsoft Managed Home Screen-appen til Android Enterprise
- Sådan konfigurerer du Microsoft Managed Home Screen på dedikerede enheder i kiosktilstand med flere apps
For udviklere, der opretter apps til delt enhedstilstand
Hvis du er udvikler, kan du se følgende ressourcer for at få flere oplysninger om, hvordan du integrerer din app med delt enhedstilstand:
Multifaktorgodkendelse
Microsoft Entra-id understøtter flere former for multifaktorgodkendelse med Authenticator-appen, FIDO2-nøgler, SMS, taleopkald m.m.
På grund af højere omkostninger og juridiske begrænsninger er de mest sikre godkendelsesmetoder muligvis ikke praktiske for mange organisationer. FIDO2-sikkerhedsnøgler anses f.eks. typisk for dyre, biometriske værktøjer, f.eks. Windows Hello kan være i strid med eksisterende regler eller foreningsregler, og SMS-logon er muligvis ikke muligt, hvis frontlinjemedarbejdere ikke har tilladelse til at hente deres personlige enheder på arbejde.
Multifactor-godkendelse giver et højt sikkerhedsniveau for programmer og data, men det giver løbende friktion til brugerlogon. For organisationer, der vælger BYOD-udrulninger, er multifaktorgodkendelse måske eller måske ikke en praktisk mulighed. Det anbefales på det kraftigste, at forretnings- og tekniske teams validerer brugeroplevelsen med multifaktorgodkendelse før bred udrulning, så brugerens indvirkning kan overvejes korrekt i forbindelse med ændringsstyring og parathedsindsats.
Hvis multifaktorgodkendelse ikke er mulig for din organisation eller udrulningsmodel, skal du planlægge at udnytte robuste politikker for betinget adgang for at reducere sikkerhedsrisikoen.
Godkendelse uden adgangskode
Hvis du vil forenkle adgangen yderligere for din frontlinearbejdsstyrke, kan du udnytte godkendelsesmetoder uden adgangskode, så medarbejderne ikke behøver at huske eller skrive deres adgangskoder. Godkendelsesmetoder uden adgangskode er typisk også mere sikre, og mange kan opfylde MFA-krav, hvis det er nødvendigt.
Før du fortsætter med en godkendelsesmetode uden adgangskode, skal du afgøre, om den kan fungere i dit eksisterende miljø. Overvejelser som omkostninger, understøttelse af operativsystemet, krav til personlig enhed og MFA-support kan påvirke, om en godkendelsesmetode vil fungere efter dine behov. FIDO2-sikkerhedsnøgler anses i øjeblikket for at være for dyre, og sms- og godkenderlogon er muligvis ikke muligt, hvis frontlinjemedarbejdere ikke har tilladelse til at få deres personlige enheder til at fungere.
Se tabellen for at vurdere godkendelsesmetoder uden adgangskode til dit frontline-scenarie.
| Metode | Understøttelse af operativsystem | Kræver personlig enhed | Understøtter multifaktorgodkendelse |
|---|---|---|---|
| Sms-logon | Android og iOS | Ja | Nej |
| Windows Hello | Windows | Nej | Ja |
| Microsoft Authenticator | Alle | Ja | Ja |
| FIDO2-nøgle | Windows | Nej | Ja |
Hvis du udruller med delte enheder, og de tidligere indstillinger uden adgangskode ikke er mulige, kan du vælge at deaktivere stærke adgangskodekrav, så brugerne kan angive enklere adgangskoder, mens de logger på administrerede enheder. Hvis du vælger at deaktivere stærke krav til adgangskoder, bør du overveje at føje disse strategier til din implementeringsplan.
- Deaktiver kun stærke adgangskodekrav for brugere af delte enheder.
- Opret en politik for betinget adgang, der forhindrer disse brugere i at logge på ikke-delte enheder på netværk, der ikke er tillid til.
Tilladelse
Autorisationsfunktioner styrer, hvad en godkendt bruger kan foretage sig eller få adgang til. I Microsoft 365 opnås dette via en kombination af Microsoft Entra politikker for betinget adgang og politikker for programbeskyttelse.
Implementering af robuste godkendelseskontroller er en vigtig komponent i sikringen af en udrulning af frontline-delte enheder, især hvis det ikke er muligt at implementere stærke godkendelsesmetoder som multifactor-godkendelse (MFA) af omkostningsmæssige eller praktiske årsager.
Microsoft Entra betinget adgang
Med betinget adgang kan du oprette regler, der begrænser adgangen baseret på følgende signaler:
- Bruger- eller gruppemedlemskab
- Oplysninger om IP-placering
- Enhed (kun tilgængelig, hvis enheden er tilmeldt Microsoft Entra id)
- Program
- Registrering af risici i realtid og beregnet risiko
Politikker for betinget adgang kan bruges til at blokere adgang, når en bruger er på en enhed, der ikke overholder angivne standarder, eller når brugeren er på et netværk, der ikke er tillid til. Det kan f.eks. være, at du vil bruge betinget adgang til at forhindre brugerne i at få adgang til et lagerprogram, når de ikke er på arbejdsnetværket eller bruger en ikke-administreret enhed, afhængigt af din organisations analyse af gældende love.
I BYOD-scenarier, hvor det giver mening at få adgang til data uden for arbejdet, f.eks. HR-relaterede oplysninger eller ikke-forretningsrelaterede programmer, kan du vælge at implementere mere tilladte politikker for betinget adgang sammen med stærke godkendelsesmetoder som multifaktorgodkendelse.
Betinget adgang understøttes for:
- Delte Windows-enheder, der administreres i Intune.
- Delte Android- og iOS-enheder, der er tilmeldt delt enhedstilstand med klargøring uden berøring.
- BYOD til Windows, Android og iOS, der administreres med Intune- eller MDM-løsninger fra tredjepart.
Betinget adgang understøttes ikke for:
- Enheder, der er konfigureret manuelt med delt enhedstilstand, herunder Android- og iOS-enheder, der administreres med MDM-løsninger fra tredjepart.
- iPad-enheder, der bruger Delt iPad for Business.
Bemærk!
Betinget adgang til Android-enheder, der administreres med udvalgte MDM-løsninger fra tredjepart, kommer snart.
Du kan få flere oplysninger om betinget adgang i dokumentationen Microsoft Entra Betinget adgang.
Appbeskyttelse politikker
Med MAM fra Intune kan du bruge appbeskyttelsespolitikker (APP) sammen med programmer, der er integreret med Intunes APP SDK. Dette giver dig mulighed for yderligere at beskytte din organisations data i et program.
Med politikker for appbeskyttelse kan du tilføje sikkerhedsforanstaltninger for adgangskontrol, f.eks.:
- Kræv en pinkode for at åbne en app i en arbejdskontekst.
- Styr delingen af data mellem programmer
- Undgå lagring af firmaappdata på en personlig lagerplacering
- Sørg for, at enhedens operativsystem er opdateret
Du kan også bruge API'er til at sikre, at data ikke lækker til programmer, der ikke understøtter delt enhedstilstand. Følgende API'er skal være aktiveret på delte enheder for at forhindre tab af data:
- Deaktiver kopiering/indsættelse i programmer, der ikke er i delt enhedstilstand.
- Deaktiver lagring af lokale filer.
- Deaktiver funktioner til dataoverførsel til programmer, der ikke er aktiveret til enhedstilstand.
API'er er nyttige i BYOD-scenarier, fordi de giver dig mulighed for at beskytte dine data på appniveau uden at skulle administrere hele enheden. Dette er vigtigt i scenarier, hvor medarbejdere kan have en enhed, der administreres af en anden lejer (f.eks. et universitet eller en anden arbejdsgiver), og som ikke kan administreres af en anden virksomhed.
Programstyring
Din udrulningsplan skal indeholde en oversigt over og vurdering af de programmer, som frontlinjemedarbejdere skal bruge til at udføre deres job. I dette afsnit beskrives overvejelser og nødvendige trin for at sikre, at brugerne har adgang til de påkrævede programmer, og at oplevelsen optimeres i forbindelse med din frontlineimplementering.
I forbindelse med denne vurdering er ansøgninger kategoriseret i tre grupper:
- Microsoft-programmer bygges og understøttes af Microsoft. Microsoft-programmer understøtter Microsoft Entra id og integreres med Intunes APP SDK. Det er dog ikke alle Microsoft-programmer, der understøttes med delt enhedstilstand. [Se en liste over understøttede programmer og tilgængelighed.] (godkendelsesbogmærke)
- Tredjepartsprogrammer bygges og sælges kommercielt af en tredjepartsudbyder. Nogle programmer understøtter ikke Microsoft Entra id, Intunes APP SDK eller delt enhedstilstand. Samarbejd med programudbyderen og dit Microsoft-kontoteam for at bekræfte, hvad brugeroplevelsen bliver.
- Brugerdefinerede line of business-programmer er udviklet af din organisation til at imødekomme interne forretningsbehov. Hvis du bygger programmer ved hjælp af Power Apps, aktiveres din app automatisk med Microsoft Entra-id, Intune og delt enhedstilstand.
De programmer, som frontlinjebrugere får adgang til, opfylder disse krav (alt efter hvad der er relevant) for at aktivere global enkeltlogon og enkeltlogon.
- Integrer brugerdefinerede programmer og tredjepartsprogrammer med MSAL: Brugerne kan godkende i dine programmer ved hjælp af Microsoft Entra id, aktivere SSO og politikker for betinget adgang kan anvendes.
- Integrer programmer med delt enhedstilstand (gælder kun for delte Android- eller iOS-enheder): Programmer kan bruge de nødvendige API'er til delt enhedstilstand i MSAL til at udføre automatisk enkeltlogon og enkeltlogon. Hvis du bruger disse API'er korrekt, kan du integrere med delt enhedstilstand. Dette er ikke nødvendigt, hvis du kører dit program i Teams, Microsoft Edge eller PowerApps.
- Integrer med Intunes APP SDK (gælder kun for delte Android- eller iOS-enheder): Programmer kan administreres i Intune for at forhindre utilsigtet eller uautoriseret dataeksponering. Dette er ikke nødvendigt, hvis din MDM udfører appdata, rydder, der sletter følsomme data under enhedstjek (enkeltlogon).
Når du har valideret dine programmer, kan du installere dem på administrerede enheder ved hjælp af din MDM-løsning. Dette giver dig mulighed for at forudinstallere alle de nødvendige programmer under tilmelding af enheden, så brugerne har alt, hvad de har brug for, på dag 1.
Appstartere til Android-enheder
På Android-enheder er den bedste måde at give en fokuseret oplevelse, så snart en medarbejder åbner en enhed, at levere en tilpasset startskærm. Med en tilpasset startskærm kan du kun få vist de relevante programmer, som en medarbejder skal bruge, og widgets, der fremhæver vigtige oplysninger.
De fleste MDM-løsninger leverer deres egen appstarter, der kan bruges. Microsoft leverer f.eks. administreret startskærm. Hvis du vil oprette din egen brugerdefinerede appstarter til delte enheder, skal du integrere den med tilstanden delt enhed, så enkeltlogon og enkeltlogon fungerer på dine enheder. I følgende tabel fremhæves nogle af de mest almindelige appstartere, der er tilgængelige i dag af Microsoft og tredjepartsudviklere.
| Appstarter | Kapaciteter |
|---|---|
| Administreret startskærm | Brug Administreret startskærm, når du ønsker, at dine slutbrugere skal have adgang til et bestemt sæt programmer på dine dedikerede Intune-tilmeldte enheder. Da Administreret startskærm kan startes automatisk som standardstartskærmen på enheden og vises for slutbrugeren som den eneste startskærm, er den nyttig i scenarier med delte enheder, når der kræves en låst oplevelse. |
| Microsoft Launcher | Med Microsoft Launcher kan brugerne tilpasse deres telefon, holde sig organiseret, når de er på farten, og overføre arbejde fra deres telefon til deres pc. Microsoft Launcher adskiller sig fra Managed Home Screen, fordi den giver slutbrugeren adgang til deres standardstartskærm. Microsoft Launcher er derfor nyttig i BYOD-scenarier. |
| VMware Workspace ONE Launcher | For kunder, der bruger VMware, er Workspace ONE Launcher det bedste værktøj til at organisere et sæt programmer, som din frontlinjearbejdsstyrke skal have adgang til. Indstillingen Log af fra denne starter er også det, der gør det muligt for Android App Data Clear for enkeltlogon på VMware-enheder. VMware Workspace ONE Launcher understøtter i øjeblikket ikke delt enhedstilstand. |
| Brugerdefineret appstarter | Hvis du vil have en fuldt tilpasset oplevelse, kan du bygge din egen brugerdefinerede appstarter. Du kan integrere startprogrammet med delt enhedstilstand, så brugerne kun skal logge på og af én gang. |
Relaterede artikler
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om