Verwalten freigegebener Geräte für Mitarbeiter in Service und Produktion

• Gilt für:

  Microsoft Teams, Microsoft 365 for frontline workers

Übersicht

Viele Frontline-Mitarbeiter verwenden gemeinsam genutzte mobile Geräte, um ihre Arbeit zu erledigen. Gemeinsam genutzte Geräte sind unternehmenseigene Geräte, die von Mitarbeitern über Aufgaben, Schichten oder Standorte hinweg gemeinsam genutzt werden.

Hier ist ein Beispiel für ein typisches Szenario. Eine Organisation verfügt über einen Pool von Geräten in Ladeschalen, die von allen Mitarbeitern gemeinsam genutzt werden. Zu Beginn einer Schicht nimmt ein Mitarbeiter ein Gerät aus dem Pool ab und meldet sich bei Microsoft Teams und anderen Geschäfts-Apps an, die für seine Rolle wichtig sind. Am Ende ihrer Schicht melden sie sich ab und bringen das Gerät zurück in den Pool. Sogar innerhalb derselben Schicht kann ein Mitarbeiter ein Gerät zurückgeben, wenn er eine Aufgabe beendet oder zum Mittagessen ausstempelt, und dann ein anderes abholen, wenn er wieder einstempelt.

Gemeinsam genutzte Geräte stellen einzigartige Sicherheitsherausforderungen dar. Beispielsweise können Mitarbeiter Zugriff auf Unternehmens- oder Kundendaten haben, die anderen Auf demselben Gerät nicht zur Verfügung stehen sollten. Organisationen, die freigegebene Geräte bereitstellen, müssen die Anmelde- und Abmeldeerfahrung definieren und Kontrollen implementieren, um nicht autorisierten oder unbeabsichtigten Zugriff auf Apps und Daten zu verhindern, wenn Geräte zwischen Mitarbeitern übergeben werden.

In diesem Artikel werden Funktionen und Überlegungen zum Bereitstellen und Verwalten freigegebener Geräte behandelt, um Ihren Mitarbeitern in Service und Produktion die Geräte zu ermöglichen, die sie für die Arbeit benötigen. Verwenden Sie diese Anleitung, um Ihre Bereitstellung in Service und Produktion zu planen und zu verwalten.

Shared-Device-Modus

Es wird empfohlen, den Modus für gemeinsam genutzte Geräte für Ihre gemeinsam genutzten Frontline-Workergeräte zu verwenden, wann immer dies möglich ist.

Der Modus für gemeinsam genutzte Geräte ist ein Microsoft Entra ID-Feature, mit dem Organisationen ein Android-, iOS- oder iPadOS-Gerät so konfigurieren können, dass es problemlos von mehreren Mitarbeitern freigegeben werden kann. Mitarbeiter können sich einmal anmelden und zugriff auf ihre Daten in allen unterstützten Apps erhalten, ohne Zugriff auf die Daten anderer Mitarbeiter zu haben. Wenn sie ihre Schicht oder Aufgabe abgeschlossen haben, melden sie sich einmal ab und werden vom Gerät und allen unterstützten Apps abgemeldet, sodass das Gerät für den nächsten Mitarbeiter verwendet werden kann.

Wichtige Vorteile der Aktivierung des Modus für gemeinsam genutzte Geräte auf Geräten

• Einmaliges Anmelden: Ermöglichen Sie Benutzern, sich einmal bei einer App anzumelden, die den Modus für gemeinsam genutzte Geräte unterstützt, und erhalten Sie eine nahtlose Authentifizierung bei allen anderen Apps, die den Modus für gemeinsam genutzte Geräte unterstützen, ohne anmeldeinformationen erneut eingeben zu müssen. Benutzer von der Ersten Ausführung auf freigegebenen Geräten ausschließen.
• Einmaliges Abmelden: Ermöglicht Benutzern eine einfache Möglichkeit, sich von einem Gerät abzumelden, ohne sich einzeln von jeder App abmelden zu müssen, die den Modus für gemeinsam genutzte Geräte unterstützt. Geben Sie den Benutzern die Gewissheit, dass ihre Daten nachfolgenden Benutzern nicht unangemessen angezeigt werden, da die Apps sicherstellen, dass zwischengespeicherte Benutzerdaten bereinigen und App-Schutzrichtlinien angewendet werden.
• Unterstützung für das Erzwingen von Sicherheitsanforderungen mithilfe von Richtlinien für bedingten Zugriff: Bietet Administratoren die Möglichkeit, bestimmte Richtlinien für bedingten Zugriff auf freigegebene Geräte zu verwenden, um sicherzustellen, dass Mitarbeiter nur Zugriff auf Unternehmensdaten haben, wenn ihr freigegebenes Gerät interne Compliancestandards erfüllt.

Erste Schritte mit dem Modus für gemeinsam genutzte Geräte

Sie können Geräte für den Modus für gemeinsam genutzte Geräte manuell oder über Ihre MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) mithilfe der Zero-Touch-Bereitstellung einrichten. Weitere Informationen finden Sie unter Übersicht über den Modus für gemeinsam genutzte Geräte.

Entwickler können Ihren Apps mithilfe der Microsoft Authentication Library (MSAL) Unterstützung für den Modus für gemeinsam genutzte Geräte hinzufügen. Weitere Informationen zum Integrieren Ihrer Apps in den Modus für gemeinsam genutzte Geräte finden Sie unter:

• Shared-Device-Modus für Android-Geräte
• Tutorial: Verwenden des Modus für gemeinsam genutzte Geräte in Ihrer Android-Anwendung
• Shared-Device-Modus für iOS-Geräte

Mehrstufige Authentifizierung

Microsoft Entra Multi-Factor Authentication (MFA) bietet zusätzliche Sicherheit gegenüber der ausschließlichen Verwendung eines Kennworts, wenn sich ein Benutzer anmeldet. MFA ist eine hervorragende Möglichkeit, die Sicherheit zu erhöhen, obwohl dies für einige Benutzer zu Reibungsverluste bei der Anmeldung führen kann, da die zusätzliche Sicherheitsebene zusätzlich dazu besteht, dass sie sich ihre Kennwörter merken müssen.

Es ist wichtig, die Benutzererfahrung vor dem Rollout zu überprüfen, damit Sie sich auf das Change Management und die Bereitschaft vorbereiten können.

Wenn MFA für Ihre Organisation nicht möglich ist, sollten Sie die Implementierung robuster Richtlinien für bedingten Zugriff planen, um das Sicherheitsrisiko zu verringern. Einige allgemeine Richtlinien für bedingten Zugriff, die angewendet werden müssen, wenn MFA nicht auf freigegebenen Geräten verwendet wird:

• Gerätecompliance
• Vertrauenswürdige Netzwerkstandorte
• Gerät wird verwaltet

Achten Sie darauf, richtlinien für bedingten Zugriff und App-Schutzrichtlinien zu bewerten, die Sie anwenden möchten, um sicherzustellen, dass sie die Anforderungen Ihrer Organisation erfüllen.

Anmeldung ohne Domäne

Sie können die Anmeldung in Teams für iOS und Android vereinfachen, indem Sie den Domänennamen auf dem Anmeldebildschirm für Benutzer auf freigegebenen und verwalteten Geräten vorab ausfüllen.

Benutzer melden sich an, indem sie nur den ersten Teil ihres Benutzerprinzipalnamens (UPN) eingeben. Wenn der Benutzername beispielsweise oder alexw@contoso.comist123456@contoso.com, können sich Benutzer nur mit "123456" bzw. "alexw" und ihrem Kennwort anmelden. Die Anmeldung bei Teams ist schneller und einfacher, insbesondere für Mitarbeiter in Service und Produktion auf freigegebenen Geräten, die sich regelmäßig an- und abmelden.

Sie können auch die domänenlose Anmeldung für Ihre benutzerdefinierten Branchen-Apps aktivieren.

Erfahren Sie mehr über die Anmeldung ohne Domänen.

Bedingter Zugriff

Verwenden Sie Richtlinien für bedingten Zugriff , um bei Bedarf die richtigen Steuerelemente anzuwenden, um Die Sicherheit Ihrer Organisation zu gewährleisten. Sie können Regeln erstellen, die den Zugriff basierend auf identitätsgesteuerten Signalen einschränken, die Folgendes umfassen:

• Benutzer oder Gruppenmitgliedschaft
• IP-Standortinformationen
• Gerät (nur verfügbar, wenn das Gerät in der Microsoft Entra-ID registriert ist)
• App
• Echtzeit-Erkennung kalkuliertes Risiko

Sie können beispielsweise eine Richtlinie für bedingten Zugriff verwenden, um den Zugriff einzuschränken, sodass nur freigegebene Geräte, die als konform gekennzeichnet sind, auf die Apps und Dienste Ihrer Organisation zugreifen können. Im Folgenden finden Sie einige Ressourcen, die Ihnen bei den ersten Schritten helfen:

• Planen einer Bereitstellung für bedingten Zugriff
• Erstellen einer Richtlinie für bedingten Zugriff

App-Schutzrichtlinien

Mit der Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) von Intune können Sie App-Schutzrichtlinien verwenden, um sicherzustellen, dass Daten nicht an Apps weitergegeben werden, die den Modus für gemeinsam genutzte Geräte nicht unterstützen. Um Datenverluste zu verhindern, aktivieren Sie die folgenden App-Schutzrichtlinien auf freigegebenen Geräten:

• Deaktivieren Sie das Kopieren/Einfügen in Apps, für die der Modus für nicht freigegebene Geräte aktiviert ist.
• Lokales Speichern von Dateien deaktivieren.
• Deaktivieren Sie Datenübertragungsfunktionen für Apps, für die der Modus für nicht freigegebene Geräte aktiviert ist.

Automatisches Erteilen der Zustimmung für Apps für Gerätefeatures

Auf einem freigegebenen Gerät ist es wichtig, unnötige Bildschirme zu entfernen, die angezeigt werden können, wenn ein Benutzer zum ersten Mal auf eine App zugreift. Diese Bildschirme können Aufforderungen enthalten, der App die Berechtigung zur Verwendung von Gerätefeatures wie Mikrofon oder Kamera oder zugriff auf den Standort zu erteilen. Sie können App-Konfigurationsrichtlinien in Intune auf freigegebenen Android-Geräten verwenden, um App-Berechtigungen für den Zugriff auf Gerätefeatures vorzukonfigurieren.

Wenn Sie eine MDM-Lösung eines Drittanbieters verwenden, finden Sie in der Dokumentation verfügbare Optionen zum automatischen Erteilen der Zustimmung zu Apps für den Zugriff auf Gerätefeatures.

Verwandte Artikel

• Übersicht über die Geräteverwaltung für Mitarbeiter in Service und Produktion