Vue d’ensemble de la gestion des appareils pour les employés de première ligne
Vue d’ensemble
Dans tous les secteurs d’activité, les employés de première ligne constituent une grande partie de la main-d’œuvre. Les rôles de l’employé de première ligne incluent les associés de vente au détail, les ouvriers d’usine, les techniciens de terrain et de service, le personnel de santé, et bien plus encore.
Étant donné que la main-d’œuvre est en grande partie mobile et souvent basée sur des équipes, la gestion des appareils utilisés par les travailleurs de première ligne est essentielle. Voici certaines des questions que vous pouvez vous poser :
- Les travailleurs utilisent-ils des appareils appartenant à l’entreprise ou leurs propres appareils personnels ?
- Les appareils appartenant à l’entreprise sont-ils partagés entre les travailleurs ou attribués à un individu ?
- Les travailleurs ramènent-ils des appareils à la maison ou les laissent-ils sur le lieu de travail ?
Il est important de définir une base de référence sécurisée et conforme pour gérer les appareils de votre personnel, qu’il s’agisse d’appareils partagés ou de leurs propres appareils.
Cet article vous donne une vue d’ensemble des scénarios d’appareils de travailleur de première ligne et des fonctionnalités de gestion courantes pour aider à autonomiser votre personnel tout en protégeant les données de l’entreprise. Utilisez les informations et considérations pour planifier votre déploiement d’appareils de première ligne.
Déploiement d’appareils
Une étape clé de la planification consiste à déterminer comment vous allez déployer des appareils mobiles sur votre ligne de front et les systèmes d’exploitation à prendre en charge. Prenez ces décisions à l’avance afin de pouvoir évaluer la faisabilité de votre plan d’implémentation et de votre infrastructure informatique en tenant compte de ces facteurs.
Modèles de déploiement
Les appareils partagés et BYOD (bring-your-own-device) sont les types d’appareils les plus couramment adoptés dans les organisations de première ligne. Le tableau suivant répertorie ces modèles de déploiement, ainsi que d’autres considérations et considérations connexes.
| Type d’appareil | Description | Pourquoi utiliser | Considérations relatives au déploiement |
|---|---|---|---|
| Appareils partagés | Appareils détenus et gérés par votre organisation. Les employés accèdent aux appareils au travail. |
La productivité des travailleurs et l’expérience client sont une priorité absolue. Les workers ne peuvent pas accéder aux ressources de l’organisation lorsqu’ils ne sont pas au travail. Les lois locales peuvent empêcher l’utilisation d’appareils personnels à des fins professionnelles. |
Définissez la façon dont votre serveur de première ligne se connecte et se déconnecte de l’appareil. Envisagez d’utiliser des stratégies d’accès conditionnel Microsoft Entra pour sécuriser les appareils partagés lorsque l’authentification multifacteur (MFA) n’est pas une option. |
| ByOD (Apportez votre propre appareil) | Appareils personnels appartenant à l’utilisateur et gérés par votre organisation. | Vous souhaitez donner aux employés un moyen pratique de vérifier les horaires de travail, de discuter avec des collègues au sujet des échanges de quarts de travail ou d’accéder à des ressources RH telles que leur paie. Les appareils partagés ou dédiés peuvent ne pas être pratiques du point de vue des coûts ou de la préparation à l’entreprise. |
Les appareils personnels varient en fonction du système d’exploitation, du stockage et de la connectivité. L’utilisation d’appareils personnels peut être contraire aux règles syndicales ou aux réglementations gouvernementales. Certains travailleurs peuvent ne pas avoir un accès fiable à un appareil mobile personnel. |
| Appareils dédiés1 | Appareils détenus et gérés par votre organisation et émis à un seul utilisateur. | Le worker a besoin d’un numéro de téléphone dédié pour recevoir des appels et des SMS. L’organisation nécessite un contrôle total sur l’appareil et la façon dont les employés l’utilisent. |
Coût du matériel dédié. L’effort supplémentaire de déploiement et de prise en charge de la complexité peut ne pas être réalisable dans les emplacements de terrain. |
| Appareils kiosque2 | Appareils détenus et gérés par votre organisation. Les utilisateurs n’ont pas besoin de se connecter ou de se déconnecter. | L’appareil a un objectif dédié. Le cas d’usage ne nécessite pas d’authentification utilisateur. |
Les applications de collaboration, de communication, de tâche et de workflow ont besoin d’une identité d’utilisateur pour fonctionner. Impossible d’auditer l’activité des utilisateurs. Impossible d’utiliser certaines fonctionnalités de sécurité, notamment l’authentification multifacteur. |
1Les appareils dédiés sont rares dans les déploiements de première ligne, principalement en raison du coût élevé et des efforts de gestion dans le contexte d’une rotation élevée du personnel.
deuxLes déploiements d’appareils kiosques ne sont pas recommandés, car ils n’autorisent pas l’audit des utilisateurs et les fonctionnalités de sécurité basées sur l’utilisateur telles que l’authentification multifacteur.
En savoir plus sur les appareils kiosque.
Dans cet article, nous nous concentrons sur les appareils partagés et LE BYOD, car il s’agit des modèles de déploiement qui répondent aux besoins pratiques de la plupart des déploiements de première ligne. Poursuivez votre lecture pour obtenir une vue d’ensemble des considérations relatives à la planification et des fonctionnalités de gestion.
Système d’exploitation de l’appareil
Le modèle de déploiement que vous choisissez détermine en partie les systèmes d’exploitation d’appareil que vous prenez en charge. Par exemple :
- Si vous implémentez un modèle d’appareils partagés, le système d’exploitation de l’appareil que vous choisissez détermine les fonctionnalités disponibles. Par exemple, les appareils Windows prennent en charge en mode natif la possibilité de stocker plusieurs profils utilisateur pour la connexion automatisée et l’authentification facile avec Windows Hello. Avec Android et iOS, d’autres étapes et conditions préalables s’appliquent.
- Si vous implémentez un modèle BYOD, vous devez prendre en charge les appareils Android et iOS.
| Système d’exploitation du périphérique | Considérations |
|---|---|
| Android |
Fonctionnalités natives limitées pour le stockage de plusieurs profils utilisateur sur les appareils. Les appareils Android peuvent être inscrits en mode d’appareil partagé pour automatiser l’authentification unique et la déconnexion, et cibler les stratégies d’accès conditionnel. Gestion robuste des contrôles et des API. Écosystème existant d’appareils conçus pour une utilisation de première ligne. |
| iOS et iPadOS | Les appareils iOS peuvent être inscrits en mode d’appareil partagé pour automatiser l’authentification unique et la déconnexion. Le stockage de plusieurs profils utilisateur sur des appareils iPadOS est possible avec l’iPad partagé pour les entreprises. |
| Windows | Prise en charge native du stockage de plusieurs profils utilisateur sur l’appareil. Prend en charge Windows Hello pour l’authentification sans mot de passe. Fonctionnalités de déploiement et de gestion simplifiées lorsqu’elles sont utilisées avec Microsoft Intune. |
Paysage de l’appareil
Lorsque vous planifiez le déploiement de votre appareil, il existe des considérations sur plusieurs surfaces d’exposition. Cette section décrit le paysage et les termes à connaître.
Gestion des appareils mobiles
Les solutions de gestion des appareils mobiles (GPM), telles que Microsoft Intune, simplifient le déploiement, la gestion et la surveillance des appareils.
Un appareil ne peut être inscrit que dans une seule solution GPM, mais vous pouvez utiliser plusieurs solutions MDM pour gérer des pools d’appareils distincts. Par exemple, vous pouvez utiliser VMware Workspace ONE ou SOTI MobiControl pour les appareils partagés et Intune pour BYOD. Si vous utilisez plusieurs solutions MDM, gardez à l’esprit que certains utilisateurs peuvent ne pas être en mesure d’accéder à des appareils partagés en raison d’une incompatibilité dans les stratégies d’accès conditionnel ou les stratégies de gestion des applications mobiles (GAM).
Si vous utilisez une solution GPM tierce, vous pouvez intégrer la conformité des partenaires Intune pour tirer parti de l’accès conditionnel pour les appareils gérés par des solutions GPM tierces.
Lanceurs d’applications pour les appareils Android
Un lanceur d’applications est une application qui vous permet de fournir une expérience ciblée pour votre personnel de première ligne avec un écran de lancement personnalisé, tel que les applications, le papier peint et les positions d’icône. Vous pouvez afficher uniquement les applications pertinentes que vos employés de première ligne doivent utiliser et les widgets qui mettent en évidence les informations clés.
La plupart des solutions MDM fournissent leur propre lanceur d’applications. Par exemple, Microsoft Intune fournit l’application Microsoft Managed Home Screen. Vous pouvez également créer votre propre lanceur personnalisé.
Le tableau suivant répertorie certains des lanceurs d’applications les plus courants disponibles aujourd’hui pour les appareils Android par Microsoft et les développeurs tiers.
| Lanceur d'applications | Fonctionnalités |
|---|---|
| Écran d’accueil géré par Microsoft | Utilisez Managed Home Screen lorsque vous souhaitez que vos utilisateurs aient accès à un ensemble spécifique d’applications sur vos appareils dédiés inscrits dans Intune. Étant donné que Managed Home Screen peut être automatiquement lancé en tant qu’écran d’accueil par défaut sur l’appareil et qu’il apparaît à l’utilisateur comme seul écran d’accueil, il est utile dans les scénarios d’appareils partagés lorsqu’une expérience de verrouillage est requise. En savoir plus. |
| VMware Workspace ONE Launcher | Si vous utilisez VMware, workspace ONE Launcher est un outil permettant d’organiser un ensemble d’applications auxquelles votre personnel de première ligne doit accéder. VMware Workspace ONE Launcher ne prend actuellement pas en charge le mode d’appareil partagé. En savoir plus. |
| SOTI | Si vous utilisez SOTI, le lanceur d’applications SOTI est le meilleur outil pour organiser un ensemble d’applications auxquelles votre première ligne doit accéder. Le lanceur d’applications SOTI prend en charge le mode appareil partagé aujourd’hui. |
| BlueFletch | BlueFletch Launcher peut être utilisé sur les appareils, quelle que soit votre solution MDM. BlueFletch prend en charge le mode appareil partagé aujourd’hui. En savoir plus. |
| Lanceur d’applications personnalisé | Si vous souhaitez une expérience entièrement personnalisée, vous pouvez créer votre propre lanceur d’applications personnalisé. Vous pouvez intégrer votre lanceur au mode appareil partagé afin que vos utilisateurs n’ont besoin de se connecter et de se déconnecter qu’une seule fois. |
Gestion des identités
Microsoft 365 pour les employés de première ligne utilise l’ID Microsoft Entra comme service d’identité sous-jacent pour fournir et sécuriser toutes les applications et ressources. Les utilisateurs doivent avoir une identité qui existe dans l’ID Microsoft Entra pour accéder aux applications Microsoft 365.
Si vous choisissez de gérer les identités des utilisateurs de première ligne avec Active Directory Domain Services (AD DS) ou un fournisseur d’identité tiers, vous devez fédérer ces identités avec l’ID Microsoft Entra. Découvrez comment intégrer votre service tiers à l’ID Microsoft Entra.
Les modèles d’implémentation possibles pour la gestion des identités de première ligne sont les suivants :
- Microsoft Entra autonome : Votre organisation crée et gère des identités d’utilisateur, d’appareil et d’application dans l’ID Microsoft Entra en tant que solution d’identité autonome pour vos charges de travail de première ligne. Ce modèle d’implémentation est recommandé, car il simplifie votre architecture de déploiement de première ligne et optimise les performances lors de la connexion de l’utilisateur.
- Intégration des services de domaine Active Directory (AD DS) à l’ID Microsoft Entra : Microsoft fournit Microsoft Entra Connect pour joindre ces deux environnements. Microsoft Entra Connect réplique les comptes d’utilisateur Active Directory sur l’ID Microsoft Entra, ce qui permet à un utilisateur d’avoir une identité unique capable d’accéder aux ressources locales et cloud. Bien qu’AD DS et l’ID Microsoft Entra puissent exister en tant qu’environnements d’annuaire indépendants, vous pouvez choisir de créer des répertoires hybrides.
- Synchronisation de la solution d’identité tierce avec l’ID Microsoft Entra : Microsoft Entra ID prend en charge l’intégration avec des fournisseurs d’identité tiers tels qu’Okta et Ping Identity via la fédération. En savoir plus sur l’utilisation de fournisseurs d’identité tiers.
Provisionnement d’utilisateurs piloté par les ressources humaines
L’automatisation de l’approvisionnement d’utilisateurs est un besoin pratique pour les organisations qui souhaitent que les employés de première ligne puissent accéder aux applications et aux ressources le premier jour. Du point de vue de la sécurité, il est également important d’automatiser le déprovisionnement pendant le retrait des employés pour s’assurer que les employés précédents ne conservent pas l’accès aux ressources de l’entreprise.
Le service d’approvisionnement d’utilisateurs Microsoft Entra s’intègre aux applications RH basées sur le cloud et locales, telles que Workday et SAP SuccessFactors. Vous pouvez configurer le service pour automatiser l’approvisionnement et le déprovisionnement d’utilisateurs lorsqu’un employé est créé ou désactivé dans le système RH.
Pour en savoir plus, reportez-vous à la rubrique :
- Qu’est-ce que l’approvisionnement piloté par les ressources humaines avec l’ID Microsoft Entra ?
- Planifier un déploiement d’approvisionnement automatique d’utilisateurs pour l’ID Microsoft Entra
Déléguer la gestion des utilisateurs avec Mon personnel
Avec la fonctionnalité Mon personnel dans Microsoft Entra ID, vous pouvez déléguer des tâches courantes de gestion des utilisateurs aux responsables de première ligne via le portail Mon personnel. Les responsables de première ligne peuvent effectuer des réinitialisations de mot de passe ou gérer des numéros de téléphone pour les employés de première ligne directement à partir du magasin ou de l’usine, sans avoir à acheminer les demandes vers le support technique, les opérations ou le service informatique.
Mon personnel permet également aux responsables de première ligne d’inscrire les numéros de téléphone des membres de leur équipe pour la connexion par SMS. Si l’authentification par SMS est activée dans votre organisation, les employés de première ligne peuvent se connecter à Teams et à d’autres applications en utilisant uniquement leurs numéros de téléphone et un code secret unique envoyé par SMS. Cela rend la connexion pour les travailleurs de première ligne simple et rapide.
Mode d’appareil partagé
Avec la fonctionnalité de mode d’appareil partagé de Microsoft Entra ID, vous pouvez configurer les appareils pour qu’ils soient partagés par les employés. Cette fonctionnalité permet l’authentification unique (SSO) et la déconnexion à l’échelle de l’appareil pour Teams et toutes les autres applications qui prennent en charge le mode d’appareil partagé.
Voici comment fonctionne le mode d’appareil partagé, en utilisant Teams comme exemple. Lorsqu’un employé se connecte à Teams au début de son quart de travail, il est automatiquement connecté à toutes les autres applications qui prennent en charge le mode d’appareil partagé sur l’appareil. Lorsqu’ils se déconnectent de Teams à la fin de leur équipe, ils sont déconnectés de toutes les autres applications qui prennent en charge le mode d’appareil partagé. Une fois déconnectés, les données de l’employé et les données d’entreprise dans Teams et dans toutes les autres applications qui prennent en charge le mode d’appareil partagé ne sont plus accessibles. L’appareil est prêt à être utilisé par le prochain employé.
Vous pouvez intégrer cette fonctionnalité dans vos applications métier à l’aide de la bibliothèque d’authentification Microsoft (MSAL).
Authentification
Les fonctionnalités d’authentification contrôlent qui ou ce qui utilise un compte pour accéder aux applications, aux données et aux ressources.
Comme mentionné précédemment, Microsoft 365 pour les employés de première ligne utilise l’ID Microsoft Entra comme service d’identité sous-jacent pour la sécurisation des applications et des ressources Microsoft 365. Pour en savoir plus sur l’authentification dans l’ID Microsoft Entra, consultez Qu’est-ce que l’authentification Microsoft Entra ? et Quelles méthodes d’authentification et de vérification sont disponibles dans l’ID Microsoft Entra ?.
Authentification multifacteur
L’authentification multifacteur Microsoft Entra (MFA) fonctionne en exigeant au moins deux des méthodes d’authentification suivantes lors de la connexion :
- Quelque chose que l’utilisateur connaît, généralement un mot de passe.
- Quelque chose dont dispose l’utilisateur, par exemple un appareil approuvé qui n’est pas facilement dupliqué, comme un téléphone ou une clé matérielle.
- Quelque chose que l’utilisateur est - biométrie comme une empreinte digitale ou une analyse de visage.
L’authentification multifacteur prend en charge plusieurs formes de méthodes de vérification, notamment l’application Microsoft Authenticator, les clés FIDO2, les SMS et les appels vocaux.
L’authentification multifacteur offre un niveau élevé de sécurité pour les applications et les données, mais ajoute des frictions à la connexion de l’utilisateur. Pour les organisations qui choisissent des déploiements BYOD, l’authentification multifacteur peut ou non être une option pratique. Il est vivement recommandé que les équipes métier et techniques valident l’expérience utilisateur avec l’authentification multifacteur avant un déploiement à grande échelle afin que l’impact sur l’utilisateur puisse être correctement pris en compte dans les efforts de gestion des changements et de préparation.
Si l’authentification multifacteur n’est pas réalisable pour votre organisation ou modèle de déploiement, vous devez prévoir d’utiliser des stratégies d’accès conditionnel robustes pour réduire les risques de sécurité.
Authentification sans mot de passe
Pour simplifier davantage l’accès pour votre personnel de première ligne, vous pouvez utiliser des méthodes d’authentification sans mot de passe afin que les employés n’ont pas besoin de mémoriser ou d’entrer leur mot de passe. Les méthodes d’authentification sans mot de passe suppriment l’utilisation d’un mot de passe lors de la connexion et le remplacent par :
- Quelque chose dont dispose l’utilisateur, comme un téléphone ou une clé de sécurité.
- Quelque chose que l’utilisateur est ou connaît, comme la biométrie ou un code confidentiel.
Les méthodes d’authentification sans mot de passe sont généralement plus sécurisées, et beaucoup peuvent répondre aux exigences MFA si nécessaire.
Avant de passer à une méthode d’authentification sans mot de passe, déterminez si elle peut fonctionner dans votre environnement existant. Des considérations telles que le coût, la prise en charge du système d’exploitation, l’exigence d’appareil personnel et la prise en charge de l’authentification multifacteur peuvent affecter si une méthode d’authentification répond à vos besoins.
Consultez le tableau suivant pour évaluer les méthodes d’authentification sans mot de passe pour votre scénario de première ligne.
| Méthode | Prise en charge du système d’exploitation | Nécessite un appareil personnel | Prend en charge l’authentification multifacteur |
|---|---|---|---|
| Microsoft Authenticator | tous | Oui | Oui |
| Connexion par SMS | Android et iOS | Oui | Non |
| Windows Hello | Windows | Non | Oui |
| Clé FIDO2 | Windows | Non | Oui |
Pour plus d’informations, consultez Options d’authentification sans mot de passe pour l’ID Microsoft Entra et Configurer et activer les utilisateurs pour l’authentification par SMS à l’aide de l’ID Microsoft Entra.
Autorisation
Les fonctionnalités d’autorisation contrôlent ce qu’un utilisateur authentifié peut faire ou accéder. Dans Microsoft 365, cela s’effectue à l’aide d’une combinaison de stratégies d’accès conditionnel Microsoft Entra et de stratégies de protection des applications.
L’implémentation de contrôles d’autorisation robustes est un composant essentiel de la sécurisation d’un déploiement d’appareils partagés de première ligne, en particulier s’il n’est pas possible d’implémenter des méthodes d’authentification fortes telles que l’authentification multifacteur pour des raisons de coût ou de pratique.
Accès conditionnel Microsoft Entra
Avec l’accès conditionnel, vous pouvez créer des règles qui limitent l’accès en fonction des signaux suivants :
- Appartenance à un utilisateur ou à un groupe
- Informations sur l’emplacement IP
- Appareil (disponible uniquement si l’appareil est inscrit dans l’ID Microsoft Entra)
- Application
- Détection des risques en temps réel et calculés
Les stratégies d’accès conditionnel peuvent être utilisées pour bloquer l’accès lorsqu’un utilisateur se trouve sur un appareil non conforme ou lorsqu’il se trouve sur un réseau non approuvé. Par exemple, vous pouvez utiliser l’accès conditionnel pour empêcher les utilisateurs d’accéder à une application d’inventaire lorsqu’ils ne sont pas sur le réseau professionnel ou qu’ils utilisent un appareil non géré, en fonction de l’analyse des lois applicables de votre organisation.
Pour les scénarios BYOD où il est judicieux d’accéder à des données en dehors du travail, comme les informations relatives aux ressources humaines, la gestion des équipes, les conversations sur l’échange d’équipes ou les applications non liées à l’entreprise, vous pouvez choisir d’implémenter des stratégies d’accès conditionnel plus permissives avec des méthodes d’authentification fortes telles que l’authentification multifacteur.
Pour plus d’informations, consultez la documentation sur l’accès conditionnel Microsoft Entra.
Stratégies de protection des applications
Avec la gestion des applications mobiles (GAM) à partir d’Intune, vous pouvez utiliser des stratégies de protection des applications avec des applications intégrées au SDK d’application Intune. Cela vous permet de protéger davantage les données de votre organisation au sein d’une application.
Avec les stratégies de protection des applications, vous pouvez ajouter des protections de contrôle d’accès, telles que :
- Contrôler le partage de données entre applications.
- Empêcher l'enregistrement des données des applications de l'entreprise sur un emplacement de stockage personnel.
- Vérifiez que le système d’exploitation de l’appareil est à jour.
Dans un déploiement d’appareils partagés, vous pouvez utiliser des stratégies de protection des applications pour vous assurer que les données ne fuient pas vers les applications qui ne prennent pas en charge le mode d’appareil partagé. Dans les scénarios BYOD, les stratégies de protection des applications sont utiles, car elles vous permettent de protéger vos données au niveau de l’application sans avoir à gérer l’ensemble de l’appareil.