Administración de dispositivos para trabajadores de primera línea
En todos los sectores, los trabajadores de primera línea constituyen un gran segmento del personal. Los roles de personal de primera línea incluyen asociados comerciales, trabajadores de fábrica, técnicos de campo y servicio, personal sanitario y muchos más.
Información general
Dado que el personal es en gran medida móvil y, a menudo, basado en turnos, la administración de los dispositivos que usan los trabajadores de primera línea es fundamental. Algunas preguntas que se deben tener en cuenta:
- ¿Los trabajadores usan dispositivos propiedad de la empresa o sus propios dispositivos personales?
- ¿Los dispositivos propiedad de la empresa se comparten entre los trabajadores o se asignan a un individuo?
- ¿Los trabajadores llevan los dispositivos a casa o los dejan en el lugar de trabajo?
Es importante establecer una base de referencia segura y compatible para administrar los dispositivos de los empleados, tanto si son dispositivos compartidos como si son dispositivos propios de los trabajadores. En este artículo se proporciona información general sobre escenarios comunes de dispositivos de personal de primera línea y funcionalidades de administración para ayudar a capacitar a los empleados a la vez que protegen los datos de la empresa.
Tipos de dispositivo
Los dispositivos compartidos, bring-your-own y kiosk son los tipos de dispositivos más comunes que usan los trabajadores de primera línea.
| Tipo de dispositivo | Descripción | Por qué usar | Consideraciones de implementación |
|---|---|---|---|
| Dispositivos compartidos | Su organización posee y administra los dispositivos. Los empleados acceden a los dispositivos mientras trabajan. | La productividad de los trabajadores y la experiencia del cliente son una prioridad máxima. Los trabajadores no pueden acceder a los recursos de la organización mientras no están en el trabajo. Las leyes locales pueden impedir que los dispositivos personales se usen con fines empresariales. |
El inicio o cierre de sesión puede agregar fricción a la experiencia de trabajo. Potencial para el uso compartido involuntaria de datos confidenciales. |
| Traiga sus propios dispositivos (BYOD) | Los dispositivos personales son propiedad del usuario y los administra su organización. | La solución de administración de dispositivos móviles (MDM) existente impide que la organización adopte un modelo de dispositivos compartidos. Los dispositivos compartidos o los dispositivos dedicados pueden ser poco prácticos desde una perspectiva de costo o preparación empresarial. |
Es posible que la complejidad del soporte técnico no sea factible en ubicaciones de campo. Los dispositivos personales varían en el sistema operativo, el almacenamiento y la conectividad. Es posible que algunos trabajadores no tengan acceso confiable a un dispositivo móvil personal. Podría incurrir en una posible responsabilidad por los salarios si los trabajadores acceden a los recursos mientras no están atados. El uso de dispositivos personales puede estar en contra de las reglas sindicales o las regulaciones gubernamentales. |
| Dispositivos de pantalla completa | Su organización posee y administra los dispositivos. Los usuarios no necesitan iniciar o cerrar sesión. | El dispositivo tiene un propósito dedicado. El caso de uso no requiere autenticación de usuario. |
Las aplicaciones de colaboración, comunicación, tarea y flujo de trabajo necesitan una identidad de usuario para funcionar. No es posible auditar la actividad del usuario. No se pueden usar algunas funcionalidades de seguridad, incluida la autenticación multifactor. |
Los dispositivos compartidos y BYOD se suelen adoptar en las implementaciones de primera línea. Puede usar las funcionalidades que se describen en secciones posteriores de este artículo que pueden resolver o mitigar las preocupaciones de su organización sobre la experiencia del usuario, el acceso de trabajadores no autorizados a los datos y los recursos y la capacidad de implementar y administrar dispositivos a escala.
Nota:
Las implementaciones de dispositivos de pantalla completa no se recomiendan porque no permiten la auditoría de usuarios ni funcionalidades de seguridad basadas en el usuario, como la autenticación multifactor. Obtenga más información sobre los dispositivos de pantalla completa.
Dispositivos compartidos
Muchos trabajadores de primera línea usan dispositivos móviles compartidos para realizar el trabajo. Los dispositivos compartidos son dispositivos propiedad de la empresa que se comparten entre los empleados entre tareas, turnos o ubicaciones.
Este es un ejemplo de un escenario típico. Una organización tiene un conjunto de dispositivos en bases de carga que se comparten entre todos los empleados. Al principio de un turno, un empleado toma un dispositivo del grupo e inicia sesión en Teams y otras aplicaciones empresariales esenciales para su rol. Al final de su turno, cierran la sesión y devuelven el dispositivo al grupo. Incluso dentro del mismo turno, un trabajador puede devolver un dispositivo cuando finaliza una tarea o sale a comer y, a continuación, recoger uno diferente cuando vuelva a registrarse.
Los dispositivos compartidos presentan desafíos de seguridad únicos. Por ejemplo, los empleados pueden tener acceso a los datos de la empresa o del cliente que no deberían estar disponibles para otros usuarios en el mismo dispositivo.
Dispositivos personales (BYOD)
Algunas organizaciones usan un modelo Bring Your Own Device (BYOD) en el que los trabajadores de primera línea usan sus propios dispositivos móviles para acceder a Teams y otras aplicaciones empresariales. Esta es una introducción a algunas formas de administrar el acceso y el cumplimiento en dispositivos personales.
Sistema operativo del dispositivo
El modelo de implementación que seleccione determinará parcialmente los sistemas operativos del dispositivo que admita. Por ejemplo, si implementa un modelo BYOD, deberá admitir dispositivos Android e iOS. Si implementa un modelo de dispositivos compartidos, el sistema operativo del dispositivo que elija determinará las funcionalidades disponibles. Por ejemplo, los dispositivos Windows admiten de forma nativa la capacidad de almacenar varios perfiles de usuario para el inicio de sesión automatizado y la autenticación fácil con Windows Hello. Con Android e iOS, se aplican más pasos y requisitos previos.
| Sistema operativo del dispositivo | Consideraciones |
|---|---|
| Windows | Compatibilidad nativa para almacenar varios perfiles de usuario en el dispositivo. Admite Windows Hello para la autenticación sin contraseña. Funcionalidades simplificadas de implementación y administración cuando se usan con Microsoft Intune. |
| Android | Capacidades nativas limitadas para almacenar varios perfiles de usuario en dispositivos. Los dispositivos Android se pueden inscribir en modo de dispositivo compartido para automatizar el inicio de sesión único y el cierre de sesión único. Administración sólida de controles y API. Ecosistema existente de dispositivos creados para su uso en primera línea. |
| iOS y iPadOS | Los dispositivos iOS se pueden inscribir en modo de dispositivo compartido para automatizar el inicio de sesión único y el cierre de sesión. El almacenamiento de varios perfiles de usuario en dispositivos iPadOS es posible con iPad compartido para empresas. El acceso condicional no está disponible con iPad compartido para empresas debido a la forma en que Apple crea particiones de perfiles de usuario. |
En una implementación de dispositivos compartidos, la capacidad de almacenar varios perfiles de usuario en un dispositivo para simplificar el inicio de sesión del usuario y la capacidad de borrar los datos de la aplicación del usuario anterior (cierre de sesión único) son requisitos prácticos para las implementaciones de primera línea. Estas funcionalidades son nativas en dispositivos Windows y iPad con iPad compartido para empresas.
Identidad de usuario
Microsoft 365 for frontline workers usa Microsoft Entra id. como el servicio de identidad subyacente para entregar y proteger todas las aplicaciones y recursos. Los usuarios deben tener una identidad que exista en Microsoft Entra identificador para acceder a las aplicaciones en la nube de Microsoft 365.
Si decide administrar identidades de usuario de primera línea con Servicios de dominio de Active Directory (AD DS) o un proveedor de identidades de terceros, deberá federar estas identidades para Microsoft Entra identificador. Obtenga información sobre cómo integrar el servicio de terceros con Microsoft Entra id.
Los posibles patrones de implementación para administrar identidades de primera línea incluyen:
- Microsoft Entra independiente: su organización crea y administra identidades de usuario, dispositivo y aplicación en Microsoft Entra id. como una solución de identidad independiente para las cargas de trabajo de primera línea. Este patrón de implementación se recomienda, ya que simplifica la arquitectura de implementación de primera línea y maximiza el rendimiento durante el inicio de sesión del usuario.
- integración de Servicios de dominio de Active Directory (AD DS) con Microsoft Entra ID: Microsoft proporciona Microsoft Entra Conectar para unirse a estos dos entornos. Microsoft Entra Connect replica las cuentas de usuario de AD en Microsoft Entra identificador, lo que permite a un usuario tener una única identidad capaz de acceder a recursos locales y basados en la nube. Aunque AD DS y Microsoft Entra id. pueden existir como entornos de directorio independientes, puede optar por crear directorios híbridos.
- Sincronización de la solución de identidad de terceros con Microsoft Entra ID: Microsoft Entra id. admite la integración con proveedores de identidades de terceros, como Okta y Ping Identity a través de la federación. Obtenga más información sobre el uso de proveedores de identidades de terceros.
Aprovisionamiento de usuarios controlados por RR. HH.
La automatización del aprovisionamiento de usuarios es una necesidad práctica para las organizaciones que desean que los empleados de primera línea puedan acceder a las aplicaciones y los recursos en el primer día. Desde una perspectiva de seguridad, también es importante automatizar la desaprovisionamiento durante la retirada de empleados para asegurarse de que los empleados anteriores no conservan el acceso a los recursos de la empresa.
Microsoft Entra servicio de aprovisionamiento de usuarios se integra con aplicaciones de RR. HH. locales y basadas en la nube, como Workday y SAP SuccessFactors. Puede configurar el servicio para automatizar el aprovisionamiento y desaprovisionamiento de usuarios cuando se crea o deshabilita un empleado en el sistema de RR. HH.
Mi personal
Con la característica Mi personal en Microsoft Entra id., puede delegar tareas comunes de administración de usuarios a los administradores de primera línea a través del portal Mi personal. Los administradores de primera línea pueden realizar restablecimientos de contraseña o administrar números de teléfono para los trabajadores de primera línea directamente desde la tienda o la fábrica, sin tener que redirigir las solicitudes al departamento de soporte técnico, operaciones o TI.
Mi personal también permite a los jefes de primera línea registrar los números de teléfono de los miembros del equipo para el inicio de sesión por SMS. Si la Autenticación basada en SMS está habilitada en su organización, los trabajadores de primera línea pueden iniciar sesión en Teams y otras aplicaciones usando solo sus números de teléfono y un código de acceso de un solo uso enviado a través de SMS. Esto hace que el inicio de sesión de los trabajadores de primera línea sea sencillo, seguro y rápido.
Administración de dispositivos móviles
Las soluciones de administración de dispositivos móviles (MDM) pueden simplificar la implementación, administración y supervisión de dispositivos. Microsoft Intune admite de forma nativa características importantes para implementar dispositivos compartidos en trabajadores de primera línea. Estas funciones incluyen:
- Aprovisionamiento sin intervención: Los administradores de TI pueden inscribir y configurar previamente dispositivos móviles sin la custodia física de los dispositivos (para la configuración manual). Esta funcionalidad es útil al implementar dispositivos compartidos a escala en ubicaciones de campo, ya que los dispositivos se pueden enviar directamente a la ubicación de primera línea prevista donde los pasos de configuración y aprovisionamiento automatizados se pueden completar de forma remota.
- Cierre de sesión único: Detiene los procesos en segundo plano y automatiza el cierre de sesión del usuario en todas las aplicaciones y recursos asignados al usuario anterior cuando un nuevo usuario inicia sesión. Los dispositivos Android e iOS deben inscribirse en modo de dispositivo compartido para usar el cierre de sesión único.
- Microsoft Entra acceso condicional: los administradores de TI pueden implementar decisiones automatizadas de control de acceso para aplicaciones y recursos basados en la nube a través de señales controladas por identidades. Por ejemplo, es posible impedir el acceso por parte de un dispositivo compartido o BYOD que no tenga instaladas las actualizaciones de seguridad más recientes. Obtenga más información sobre cómo proteger la implementación.
Si usa una solución MDM de terceros para la implementación de dispositivos compartidos, como Workspace ONE de VMware o SOTI MobiControl, es importante comprender las funcionalidades asociadas, las limitaciones y las soluciones alternativas disponibles.
Algunos MDM de terceros pueden borrar los datos de la aplicación cuando se produce un cierre de sesión global en un dispositivo Android. Sin embargo, el borrado de datos de la aplicación puede perder datos almacenados en una ubicación compartida, eliminar la configuración de la aplicación o hacer que vuelvan a aparecer experiencias de primera ejecución. Los dispositivos Android inscritos en modo de dispositivo compartido pueden borrar selectivamente los datos de la aplicación necesarios durante la protección del dispositivo o cuando el nuevo usuario inicia sesión en el dispositivo. Obtenga más información sobre la autenticación en modo de dispositivo compartido.
Puede configurar manualmente el modo de dispositivo compartido en soluciones MDM de terceros para dispositivos iOS y Android; sin embargo, los pasos de configuración manual no marcan el dispositivo conforme en Microsoft Entra identificador, lo que significa que el acceso condicional no se admite en este escenario. Si decide configurar manualmente los dispositivos en modo de dispositivo compartido, deberá realizar pasos adicionales para volver a inscribir dispositivos Android en modo de dispositivo compartido con aprovisionamiento sin intervención táctil para obtener compatibilidad con el acceso condicional cuando la compatibilidad con MDM de terceros esté disponible mediante la desinstalación y reinstalación de Authenticator desde el dispositivo.
Un dispositivo solo se puede inscribir en una solución MDM, pero puede usar varias soluciones MDM para administrar grupos de dispositivos independientes. Por ejemplo, podría usar el área de trabajo ONE para dispositivos compartidos e Intune para BYOD. Si usa varias soluciones MDM, tenga en cuenta que es posible que algunos usuarios no puedan acceder a dispositivos compartidos debido a una falta de coincidencia en las directivas de acceso condicional.
| Solución MDM | Cierre de sesión único | Aprovisionamiento táctil cero | Microsoft Entra acceso condicional |
|---|---|---|---|
| Intune (Microsoft) | Compatible con dispositivos Android e iOS inscritos en modo de dispositivo compartido | Compatible con dispositivos Android e iOS inscritos en modo de dispositivo compartido | Compatible con dispositivos Android e iOS inscritos en modo de dispositivo compartido |
| Área de trabajo ONE (VMware) | Compatible con las funcionalidades de datos de la aplicación Android clear . No disponible para iOS | Actualmente no está disponible para Android e iOS. | Actualmente no está disponible para Android e iOS. |
| MobiControl (SOTI) | Compatible con las funcionalidades de borrar datos del programa . No disponible para iOS. | Actualmente no está disponible para Android e iOS. | Actualmente no está disponible para Android e iOS. |
Los dispositivos Windows inscritos en Intune admiten el cierre de sesión único, el aprovisionamiento sin intervención y Microsoft Entra acceso condicional. No es necesario configurar el modo de dispositivo compartido en dispositivos Windows.
Intune se recomienda para escenarios BYOD, ya que proporciona la mejor compatibilidad y funcionalidad de serie entre los tipos de dispositivo.
Inscripción de dispositivos Android e iOS personales
Además de los dispositivos propiedad de la empresa, puede inscribir los dispositivos de propiedad personal de los usuarios en la administración en Intune. Para la inscripción de BYOD, agrega usuarios de dispositivos en el centro de administración de Microsoft Intune, configura su experiencia de inscripción y configura directivas de Intune. Los usuarios completan la inscripción ellos mismos en la aplicación Portal de empresa de Intune que está instalada en su dispositivo.
En algunos casos, los usuarios pueden sentirse reacios a inscribir sus dispositivos personales en la administración. Si la inscripción de dispositivos no es una opción, puede elegir un enfoque de administración de aplicaciones móviles (MAM) y usar directivas de protección de aplicaciones para administrar aplicaciones que contienen datos corporativos. Por ejemplo, puede aplicar directivas de protección de aplicaciones a las aplicaciones móviles de Teams y Office para evitar que los datos de la empresa se copien en las aplicaciones personales del dispositivo.
Para obtener más información, consulte "Dispositivos personales frente a dispositivos propiedad de la organización" en la guía de planeación de Intune y la Guía de implementación: Inscribir dispositivos en Microsoft Intune.
Autenticación
Las características de autenticación controlan quién o qué usa una cuenta para obtener acceso a aplicaciones, datos y recursos. Las organizaciones que implementan dispositivos compartidos en trabajadores de primera línea necesitan controles de autenticación que no impidan la productividad de los trabajadores al tiempo que evitan el acceso no autorizado o no deseado a las aplicaciones y los datos cuando los dispositivos se transfieren entre usuarios autenticados.
La solución de primera línea de Microsoft se entrega desde la nube y usa Microsoft Entra identificador como servicio de identidad subyacente para proteger las aplicaciones y los recursos de Microsoft 365. Estas características de autenticación de Microsoft Entra id. abordan las consideraciones únicas para las implementaciones de dispositivos compartidos: inicio de sesión único automático, cierre de sesión único y otros métodos de autenticación segura.
Modo de dispositivo compartido
El modo de dispositivo compartido es una característica de Microsoft Entra id. que permite configurar los dispositivos para que los compartan los empleados. Esta característica permite el inicio de sesión único (SSO) y el cierre de sesión en todo el dispositivo para Microsoft Teams y todas las demás aplicaciones que admiten el modo de dispositivo compartido. Puede integrar esta funcionalidad en las aplicaciones de línea de negocio (LOB) mediante la Biblioteca de autenticación de Microsoft (MSAL). Una vez que un dispositivo está en modo de dispositivo compartido, las aplicaciones que aprovechan la Biblioteca de autenticación de Microsoft (MSAL) pueden detectar que se ejecutan en un dispositivo compartido y determinar quién es el usuario activo actual. Con esta información, las aplicaciones pueden realizar estos controles de autenticación:
- Inicio de sesión único automático: Si un usuario ya ha iniciado sesión en otra aplicación MSAL, el usuario iniciará sesión en cualquier aplicación compatible con el modo de dispositivo compartido. Se trata de una mejora en la experiencia de inicio de sesión único anterior, ya que reduce aún más el tiempo necesario para acceder a las aplicaciones después de iniciar sesión en la primera aplicación, ya que elimina la necesidad de que un usuario seleccione una cuenta que haya iniciado sesión anteriormente.
- Cierre de sesión único: Una vez que un usuario cierra la sesión de una aplicación mediante MSAL, todas las demás aplicaciones integradas con el modo de dispositivo compartido pueden detener los procesos en segundo plano e iniciar los procesos de eliminación de datos para evitar el acceso no autorizado o no deseado por parte del siguiente usuario.
Aquí se muestra cómo funciona el modo de dispositivo compartido, usando Teams como ejemplo. Cuando un empleado inicia sesión en Teams al inicio de su turno, inicia sesión automáticamente en todas las demás aplicaciones que admiten el modo de dispositivo compartido en el dispositivo. Al final de su turno, cuando cierran sesión en Teams, se cierra la sesión globalmente de todas las demás aplicaciones que admiten el modo de dispositivo compartido. Después de cerrar la sesión, ya no se puede acceder a los datos del empleado y a los datos de la empresa en Teams (incluidas las aplicaciones hospedadas en él) y en todas las demás aplicaciones que admiten el modo de dispositivo compartido. El dispositivo está listo para el siguiente empleado y se puede entregar de forma segura.
El modo de dispositivo compartido es una mejora en la funcionalidad de eliminación de datos de la aplicación para Android, ya que permite a los desarrolladores de aplicaciones borrar selectivamente los datos de usuario personales sin afectar a la configuración de la aplicación ni a los datos almacenados en caché. Con el modo de dispositivo compartido, las marcas que permiten a una aplicación recordar si se muestra una primera experiencia de ejecución no se eliminan para que los usuarios no vean una primera experiencia de ejecución cada vez que inicien sesión.
El modo de dispositivo compartido también permite inscribir un dispositivo en Microsoft Entra id. una vez para todos los usuarios, de modo que pueda crear fácilmente perfiles que protejan el uso de datos y aplicaciones en el dispositivo compartido. Esto le permite admitir el acceso condicional sin tener que volver a inscribir el dispositivo cada vez que un nuevo usuario se autentica en el dispositivo.
Use una solución de administración de dispositivos móviles (MDM) como Microsoft Intune o Microsoft Configuration Manager para preparar un dispositivo que se va a compartir instalando la aplicación Microsoft Authenticator y activando el modo compartido. Teams y todas las demás aplicaciones que admiten el modo de dispositivo compartido usan la configuración del modo compartido para administrar usuarios en el dispositivo. La solución MDM que use también debe realizar una limpieza del dispositivo cuando se produzca el cierre de sesión.
Nota:
El modo de dispositivo compartido no es una solución de prevención de pérdida de datos completa. El modo de dispositivo compartido se debe usar junto con las directivas de Microsoft Application Manager (MAM) para asegurarse de que los datos no se filtran a áreas del dispositivo que no aprovechan el modo de dispositivo compartido (por ejemplo, almacenamiento de archivos local).
Requisitos previos y consideraciones
Deberá cumplir los siguientes requisitos previos para usar el modo de dispositivo compartido.
- En primer lugar, el dispositivo debe tener instalado Microsoft Authenticator.
- El dispositivo debe inscribirse en modo de dispositivo compartido.
- Todas las aplicaciones que necesitan estas ventajas deben integrarse con las API de modo de dispositivo compartido en MSAL.
Las directivas mam son necesarias para evitar que los datos se muevan de aplicaciones habilitadas para el modo de dispositivo compartido a aplicaciones habilitadas para el modo de dispositivo no compartido.
Actualmente, el aprovisionamiento sin intervención del modo de dispositivo compartido solo está disponible con Intune. Si usa una solución MDM de terceros, los dispositivos deben inscribirse en modo de dispositivo compartido mediante los pasos de configuración manual.
Nota:
El acceso condicional no es totalmente compatible con los dispositivos configurados manualmente.
Algunas aplicaciones de Microsoft 365 no admiten actualmente el modo de dispositivo compartido. En la tabla siguiente se resume lo que está disponible. Si la aplicación que necesita carece de integración en modo de dispositivo compartido, se recomienda ejecutar una versión basada en web de la aplicación en Microsoft Teams o Microsoft Edge para obtener las ventajas del modo de dispositivo compartido.
El modo de dispositivo compartido se admite actualmente en dispositivos Android. Estos son algunos recursos que le ayudarán a empezar.
Inscribir dispositivos Android en modo de dispositivo compartido
Para administrar e inscribir dispositivos Android en modo de dispositivo compartido mediante Intune, los dispositivos deben ejecutar la versión 8.0 o posterior del sistema operativo Android y tener conectividad de Google Mobile Services (GMS). Para más información, vea:
- Configuración de la inscripción de Intune para dispositivos dedicados de Android Enterprise
- Inscripción de dispositivos dedicados de Android Enterprise en Microsoft Entra modo de dispositivo compartido
También puede optar por implementar la aplicación Microsoft Managed Home Screen para adaptar la experiencia a los usuarios en sus dispositivos Android dedicados inscritos en Intune. Managed Home Screen actúa como un iniciador para que otras aplicaciones aprobadas se ejecuten encima de él, y le permite personalizar dispositivos y restringir a qué empleados pueden acceder. Por ejemplo, puede definir cómo aparecen las aplicaciones en la pantalla principal, agregar el logotipo de la empresa, establecer papel tapiz personalizado y permitir que los empleados establezcan un PIN de sesión. Incluso puede configurar el cierre de sesión para que se produzca automáticamente después de un período de inactividad especificado. Para más información, vea:
- Configurar la aplicación Microsoft Managed Home Screen para Android Enterprise
- Cómo configurar Microsoft Managed Home Screen en dispositivos dedicados en el modo de pantalla completa con varias aplicaciones
Para desarrolladores que crean aplicaciones para el modo de dispositivo compartido
Si eres un desarrollador, consulta los siguientes recursos para obtener más información sobre cómo integrar la aplicación con el modo de dispositivo compartido:
- Modo de dispositivo compartido para dispositivos Android
- Modo de dispositivo compartido para dispositivos iOS
Autenticación multifactor
Microsoft Entra id. admite varias formas de autenticación multifactor con la aplicación Authenticator, claves FIDO2, SMS, llamadas de voz, etc.
Debido a mayores costos y restricciones legales, es posible que los métodos de autenticación más seguros no sean prácticos para muchas organizaciones. Por ejemplo, las claves de seguridad FIDO2 suelen considerarse demasiado costosas, las herramientas biométricas como Windows Hello pueden ejecutarse en función de las normas existentes o las reglas sindicales, y es posible que el inicio de sesión por SMS no sea posible si los trabajadores de primera línea no tienen permiso para llevar sus dispositivos personales al trabajo.
La autenticación multifactor proporciona un alto nivel de seguridad para las aplicaciones y los datos, pero agrega fricción continua al inicio de sesión del usuario. Para las organizaciones que eligen implementaciones BYOD, la autenticación multifactor puede ser o no una opción práctica. Se recomienda encarecidamente que los equipos técnicos y empresariales validen la experiencia del usuario con la autenticación multifactor antes de un lanzamiento amplio para que el impacto del usuario se pueda considerar correctamente en los esfuerzos de administración de cambios y preparación.
Si la autenticación multifactor no es factible para su organización o modelo de implementación, debe planear aprovechar las sólidas directivas de acceso condicional para reducir el riesgo de seguridad.
Autenticación sin contraseña
Para simplificar aún más el acceso a los empleados de primera línea, puede aprovechar los métodos de autenticación sin contraseña para que los trabajadores no necesiten recordar ni escribir sus contraseñas. Los métodos de autenticación sin contraseña también suelen ser más seguros y muchos pueden satisfacer los requisitos de MFA si es necesario.
Antes de continuar con un método de autenticación sin contraseña, deberá determinar si puede funcionar en el entorno existente. Consideraciones como el costo, la compatibilidad con el sistema operativo, los requisitos de dispositivo personal y la compatibilidad con MFA pueden afectar a si un método de autenticación funcionaría según sus necesidades. Por ejemplo, las claves de seguridad FIDO2 se consideran actualmente demasiado costosas y es posible que el inicio de sesión de SMS y Authenticator no sea posible si los trabajadores de primera línea no pueden llevar sus dispositivos personales al trabajo.
Consulte la tabla para evaluar los métodos de autenticación sin contraseña para el escenario de primera línea.
| Método | Compatibilidad con el sistema operativo | Requiere un dispositivo personal | Admite la autenticación multifactor |
|---|---|---|---|
| Inicio de sesión de SMS | Android e iOS | Yes | No |
| Windows Hello | Windows | No | Sí |
| Microsoft Authenticator | todas | Sí | Sí |
| Tecla FIDO2 | Windows | No | Sí |
Si va a realizar la implementación con dispositivos compartidos y las opciones anteriores sin contraseña no son factibles, puede optar por deshabilitar los requisitos de contraseña seguros para que los usuarios puedan proporcionar contraseñas más sencillas al iniciar sesión en dispositivos administrados. Si decide deshabilitar los requisitos de contraseña segura, debe considerar la posibilidad de agregar estas estrategias al plan de implementación.
- Deshabilite solo los requisitos de contraseña seguros para los usuarios de dispositivos compartidos.
- Cree una directiva de acceso condicional que impida que estos usuarios inicien sesión en dispositivos no compartidos en redes que no sean de confianza.
Autorización
Las características de autorización controlan lo que un usuario autenticado puede hacer o acceder. En Microsoft 365, esto se logra mediante una combinación de Microsoft Entra directivas de acceso condicional y directivas de protección de aplicaciones.
La implementación de controles de autorización sólidos es un componente fundamental para proteger una implementación de dispositivos compartidos de primera línea, especialmente si no es posible implementar métodos de autenticación seguros, como la autenticación multifactor (MFA) por motivos de costo o practicidad.
Microsoft Entra acceso condicional
Con el acceso condicional, puede crear reglas que limiten el acceso en función de las siguientes señales:
- Pertenencia a usuarios o grupos
- Información de ubicación IP
- Dispositivo (solo disponible si el dispositivo está inscrito en Microsoft Entra id.)
- Aplicación
- Detección de riesgos calculada y en tiempo real
Las directivas de acceso condicional se pueden usar para bloquear el acceso cuando un usuario está en un dispositivo no compatible o mientras se encuentra en una red que no es de confianza. Por ejemplo, es posible que quiera usar el acceso condicional para impedir que los usuarios accedan a una aplicación de inventario cuando no están en la red de trabajo o usan un dispositivo no administrado, en función del análisis de las leyes aplicables de su organización.
En escenarios BYOD en los que tiene sentido acceder a datos fuera del trabajo, como información relacionada con RR. HH. o aplicaciones no relacionadas con la empresa, puede optar por implementar directivas de acceso condicional más permisivas junto con métodos de autenticación seguros, como la autenticación multifactor.
El acceso condicional se admite para:
- Dispositivos Windows compartidos administrados en Intune.
- Dispositivos Android e iOS compartidos inscritos en modo de dispositivo compartido con aprovisionamiento sin intervención.
- BYOD para Windows, Android e iOS administrado con Intune o soluciones MDM de terceros.
El acceso condicional no se admite para:
- Dispositivos configurados manualmente con el modo de dispositivo compartido, incluidos los dispositivos Android e iOS administrados con soluciones MDM de terceros.
- Dispositivos iPad que usan iPad compartido para empresas.
Nota:
El acceso condicional para dispositivos Android administrados con algunas soluciones MDM de terceros estará disponible próximamente.
Para obtener más información sobre el acceso condicional, consulte la documentación Microsoft Entra acceso condicional.
Directivas de protección de aplicaciones
Con MAM de Intune, puede usar directivas de protección de aplicaciones (APP) con aplicaciones que se han integrado con el SDK de aplicaciones de Intune. Esto le permite proteger aún más los datos de su organización dentro de una aplicación.
Con las directivas de protección de aplicaciones puede agregar medidas de seguridad de control de acceso, como:
- Solicitar un PIN para abrir una aplicación en un contexto de trabajo.
- Control del uso compartido de datos entre aplicaciones
- Impedir el almacenamiento de datos de la aplicación de empresa en una ubicación de almacenamiento personal
- Asegúrese de que el sistema operativo del dispositivo está actualizado
También puede usar APP para asegurarse de que los datos no se filtran a las aplicaciones que no admiten el modo de dispositivo compartido. Para evitar la pérdida de datos, las siguientes API deben estar habilitadas en dispositivos compartidos:
- Deshabilite copiar y pegar en aplicaciones habilitadas para el modo de dispositivo no compartido.
- Deshabilite el guardado de archivos local.
- Deshabilite las funcionalidades de transferencia de datos a aplicaciones habilitadas para el modo de dispositivo no compartido.
Las APP son útiles en escenarios BYOD porque permiten proteger los datos en el nivel de aplicación sin tener que administrar todo el dispositivo. Esto es importante en escenarios en los que los empleados pueden tener un dispositivo administrado por otro inquilino (por ejemplo, una universidad u otro empleador) y no pueden ser administrados por otra empresa.
Administración de aplicaciones
El plan de implementación debe incluir un inventario y una evaluación de las aplicaciones que los trabajadores de primera línea necesitarán para realizar sus trabajos. En esta sección se describen las consideraciones y los pasos necesarios para garantizar que los usuarios tengan acceso a las aplicaciones necesarias y que la experiencia esté optimizada en el contexto de la implementación de primera línea.
A efectos de esta evaluación, las aplicaciones se clasifican en tres grupos:
- Microsoft compila y admite las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten Microsoft Entra identificador e integran con el SDK de aplicaciones de Intune. Sin embargo, no todas las aplicaciones de Microsoft son compatibles con el modo de dispositivo compartido. [Consulte una lista de las aplicaciones admitidas y la disponibilidad.] (marcador de autenticación)
- Las aplicaciones de terceros las compila y vende comercialmente un proveedor de terceros. Algunas aplicaciones no admiten el identificador de Microsoft Entra, el SDK de aplicaciones de Intune ni el modo de dispositivo compartido. Trabaje con el proveedor de aplicaciones y su equipo de cuentas de Microsoft para confirmar cuál será la experiencia del usuario.
- Su organización desarrolla aplicaciones de línea de negocio personalizadas para satisfacer las necesidades empresariales internas. Si compila aplicaciones con Power Apps, la aplicación se habilitará automáticamente con Microsoft Entra id., Intune y modo de dispositivo compartido.
Las aplicaciones a las que acceden los usuarios de primera línea cumplen estos requisitos (según corresponda) para habilitar el inicio de sesión único global y el cierre de sesión único.
- Integre aplicaciones personalizadas y de terceros con MSAL: Los usuarios pueden autenticarse en las aplicaciones mediante el identificador de Microsoft Entra, habilitar el inicio de sesión único y se pueden aplicar directivas de acceso condicional.
- Integrar aplicaciones con el modo de dispositivo compartido (solo se aplica a dispositivos compartidos Android o iOS): Las aplicaciones pueden usar las API de modo de dispositivo compartido necesarias en MSAL para realizar el inicio de sesión único y el cierre de sesión único automáticos. El uso adecuado de estas API le permite integrarse con el modo de dispositivo compartido. Esto no es necesario si ejecuta la aplicación en Teams, Microsoft Edge o PowerApps.
- Integre con el SDK de APLICACIONES de Intune (solo se aplica a dispositivos compartidos Android o iOS): Las aplicaciones se pueden administrar en Intune para evitar la exposición de datos no intencionada o no autorizada. Esto no es necesario si la MDM realiza la eliminación de datos de la aplicación que borran los datos confidenciales durante los flujos de protección del dispositivo (cierre de sesión único).
Una vez que haya validado correctamente las aplicaciones, puede implementarlas en dispositivos administrados mediante la solución MDM. Esto le permite preinstalar todas las aplicaciones necesarias durante la inscripción de dispositivos para que los usuarios tengan todo lo que necesitan en el primer día.
Iniciadores de aplicaciones para dispositivos Android
En los dispositivos Android, la mejor manera de proporcionar una experiencia centrada en cuanto un empleado abre un dispositivo es proporcionar una pantalla de inicio personalizada. Con una pantalla de inicio personalizada, puede mostrar solo las aplicaciones pertinentes que un empleado necesita usar y widgets que resaltan la información clave.
La mayoría de las soluciones MDM proporcionan su propio iniciador de aplicaciones que se puede usar. Por ejemplo, Microsoft proporciona Managed Home Screen. Si desea crear su propio iniciador de aplicaciones personalizado para dispositivos compartidos, deberá integrarlo con el modo de dispositivo compartido para que el inicio de sesión único y el cierre de sesión único funcionen en los dispositivos. En la tabla siguiente se resaltan algunos de los iniciadores de aplicaciones más comunes disponibles hoy en día por Microsoft y desarrolladores de terceros.
| Iniciador de aplicaciones | Capacidades |
|---|---|
| Managed Home Screen | Use Managed Home Screen cuando desee que los usuarios finales tengan acceso a un conjunto específico de aplicaciones en los dispositivos dedicados inscritos en Intune. Dado que Managed Home Screen se puede iniciar automáticamente como la pantalla principal predeterminada en el dispositivo y aparece al usuario final como la única pantalla principal, resulta útil en escenarios de dispositivos compartidos cuando se requiere una experiencia bloqueada. |
| Selector de Microsoft | Microsoft Launcher permite a los usuarios personalizar su teléfono, mantenerse organizados sobre la marcha y transferir el trabajo desde su teléfono a su PC. Microsoft Launcher difiere de Managed Home Screen porque permite al usuario final acceder a su pantalla principal estándar. Por lo tanto, Microsoft Launcher es útil en escenarios BYOD. |
| Iniciador de VMware Workspace ONE | Para los clientes que usan VMware, workspace ONE Launcher es la mejor herramienta para mantener un conjunto de aplicaciones a las que el personal de primera línea necesita acceso. La opción de cierre de sesión de este iniciador también es lo que habilita Android App Data Clear para el cierre de sesión único en dispositivos VMware. VMware Workspace ONE Launcher no admite actualmente el modo de dispositivo compartido. |
| Iniciador de aplicaciones personalizado | Si quieres una experiencia totalmente personalizada, puedes crear tu propio iniciador de aplicaciones personalizado. Puede integrar el iniciador con el modo de dispositivo compartido para que los usuarios solo tengan que iniciar y cerrar sesión una vez. |
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de