Megosztás a következőn keresztül:

Az előtérbeli feldolgozók eszközeinek kezelése

  • Cikk
  • A következőre érvényes::
    Microsoft Teams, Microsoft 365 for frontline workers

Minden iparágban az élvonalbeli dolgozók alkotják a munkaerő nagy részét. Az előtérbeli feldolgozói szerepkörök közé tartoznak a kiskereskedelmi munkatársak, a gyári dolgozók, a helyszíni és szerviztechnikusok, az egészségügyi személyzet és még sok más.

Áttekintés

Mivel a munkaerő nagyrészt mobil és gyakran műszakalapú, alapvető fontosságú az előtérbeli dolgozók által használt eszközök kezelése. Néhány megfontolandó kérdés:

  • A dolgozók vállalati tulajdonú eszközöket vagy saját személyes eszközöket használnak?
  • A vállalat tulajdonában lévő eszközök meg vannak osztva a feldolgozók között, vagy egy személyhez vannak rendelve?
  • A dolgozók hazaviszik az eszközöket, vagy a munkahelyen hagyják őket?

Fontos, hogy biztonságos, megfelelő alapkonfigurációt állítson be a munkatársak eszközeinek kezeléséhez, függetlenül attól, hogy megosztott eszközökről vagy a dolgozók saját eszközeiről van-e szó. Ez a cikk áttekintést nyújt az előtérbeli feldolgozóeszközök gyakori forgatókönyveiről és felügyeleti képességeiről, amelyek segítenek a munkaerőnek a vállalati adatok védelme mellett.

Eszköztípusok

A megosztott, saját tulajdonú és kioszkeszközök az előtérbeli feldolgozók által leggyakrabban használt eszköztípusok.

Eszköz típusa Leírás Miért érdemes használni? Üzembehelyezési szempontok
Megosztott eszközök Az eszközöket a szervezet birtokolja és felügyeli. Az alkalmazottak munkahelyi eszközökhöz férnek hozzá. A feldolgozói hatékonyság és az ügyfélélmény kiemelt fontosságú.

A dolgozók nem férhetnek hozzá a szervezeti erőforrásokhoz, amíg nem dolgoznak.

A helyi törvények megakadályozhatják, hogy a személyes eszközöket üzleti célokra használják.		 A bejelentkezés/kijelentkezés súrlódást okozhat a feldolgozói élményben.

Bizalmas adatok véletlen megosztásának lehetősége.
Saját eszközök használata (BYOD) A személyes eszközök tulajdonosa a felhasználó, és a szervezet kezeli. A meglévő mobileszköz-kezelési (MDM) megoldás megakadályozza, hogy a szervezet megosztott eszközmodellt vezessen be.

A megosztott eszközök vagy dedikált eszközök költség- vagy üzleti felkészültség szempontjából kivitelezhetetlenek lehetnek.		 A támogatás összetettsége nem feltétlenül valósítható meg a helyszíni helyeken.

A személyes eszközök az operációs rendszerben, a tárolásban és a kapcsolatokban eltérőek.

Előfordulhat, hogy egyes dolgozók nem rendelkeznek megbízható hozzáféréssel a személyes mobileszközhöz.

Lehetséges bérfelelősséggel is járhat, ha a dolgozók úgy férnek hozzá az erőforrásokhoz, hogy közben nem járnak be.

A személyes eszközök használata ellentétes lehet az uniós szabályokkal vagy a kormányzati szabályozással.
Kioszkeszközök Az eszközöket a szervezet birtokolja és felügyeli. A felhasználóknak nem kell bejelentkezni vagy kijelentkezni. Az eszköznek dedikált célja van.

A használati eset nem igényel felhasználói hitelesítést.		 Az együttműködési, kommunikációs, feladat- és munkafolyamat-alkalmazások működéséhez felhasználói identitásra van szükség.

A felhasználói tevékenység naplózása nem lehetséges.

Nem lehet használni bizonyos biztonsági képességeket, például a többtényezős hitelesítést.

A megosztott eszközöket és a BYOD-t gyakran alkalmazzák az előtérbeli környezetekben. A cikk későbbi szakaszaiban ismertetett képességeket használhatja, amelyek megoldhatják vagy enyhíthetik a szervezet felhasználói élményével, az adatokhoz és erőforrásokhoz való jogosulatlan hozzáféréssel, valamint az eszközök nagy léptékű üzembe helyezésének és kezelésének képességével kapcsolatos problémákat.

Megjegyzés:

A kioszkeszközök üzembe helyezése nem ajánlott, mert nem teszik lehetővé a felhasználók naplózását és a felhasználóalapú biztonsági képességeket, például a többtényezős hitelesítést. További információ a kioszkeszközökről.

Megosztott eszközök

Számos frontvonalbeli feldolgozó használ megosztott mobileszközöket a munkavégzéshez. A megosztott eszközök olyan vállalati tulajdonú eszközök, amelyek az alkalmazottak között feladatok, műszakok vagy helyek között vannak megosztva.

Íme egy példa egy tipikus forgatókönyvre. A szervezeteknek olyan eszközkészlete van, amely az összes alkalmazott között megosztható töltőkhöz van osztva. A műszak kezdetén az alkalmazott felveszi az eszközt a készletből, és bejelentkezik a Teamsbe és a szerepkörükhöz nélkülözhetetlen egyéb üzleti alkalmazásokba. A műszak végén kijelentkeznek, és visszajuttatják az eszközt a készletbe. Még ugyanabban a műszakban is előfordulhat, hogy egy feldolgozó egy eszközt ad vissza, amikor befejez egy feladatot, vagy időtúllépést végez ebédre, majd egy másikat vesz fel, amikor visszaér.

A megosztott eszközök egyedi biztonsági kihívásokat jelentenek. Előfordulhat például, hogy az alkalmazottak olyan vállalati vagy ügyféladatokhoz férnek hozzá, amelyek nem lesznek elérhetők ugyanazon az eszközön mások számára.

Személyes eszközök (BYOD)

Egyes szervezetek saját eszközökkel (BYOD) rendelkező modellt használnak, ahol az élvonalbeli dolgozók saját mobileszközükön férnek hozzá a Teamshez és más üzleti alkalmazásokhoz. Az alábbiakban áttekintjük a személyes eszközökön való hozzáférés és megfelelőség kezelésének néhány módját.

Eszköz operációs rendszere

A kiválasztott üzemi modell részben meghatározza a támogatott eszköz operációs rendszereket. Ha például BYOD-modellt implementál, akkor androidos és iOS-eszközöket is támogatnia kell. Megosztott eszközmodell implementálása esetén a választott eszköz operációs rendszere határozza meg az elérhető képességeket. A Windows-eszközök például natív módon támogatják több felhasználói profil tárolását az automatikus bejelentkezéshez és az egyszerű hitelesítéshez Windows Hello. Android és iOS rendszeren további lépések és előfeltételek érvényesek.

Eszköz operációs rendszere Megfontolások
A Windows Natív támogatás több felhasználói profil tárolásához az eszközön.
Támogatja a Windows Hello a jelszó nélküli hitelesítéshez.
Egyszerűsített üzembe helyezési és felügyeleti képességek a Microsoft Intune használata esetén.
Android Korlátozott natív képességek több felhasználói profil tárolására az eszközökön.
Az Android-eszközök regisztrálhatók megosztott eszköz módban az egyszeri bejelentkezés és a kijelentkezés automatizálásához.
A vezérlők és API-k robusztus kezelése.
Az előtérbeli használatra tervezett eszközök meglévő ökoszisztémája.
iOS és iPadOS Az iOS-eszközök regisztrálhatók megosztott eszköz módban az egyszeri bejelentkezés és a kijelentkezés automatizálásához.
Több felhasználói profil tárolása iPadOS-eszközökön a Megosztott iPad Vállalati verzióval lehetséges. A feltételes hozzáférés nem érhető el a Megosztott iPad Vállalati verzióban, mert az Apple particionálja a felhasználói profilokat.

A megosztott eszközök központi telepítésekor az előtérbeli központi telepítések esetében gyakorlati követelmény, hogy több felhasználói profilt tároljon egy eszközön a felhasználói bejelentkezés egyszerűsítése érdekében, valamint az előző felhasználó alkalmazásadatainak törlését (egyszeri kijelentkezés). Ezek a képességek a Megosztott iPad vállalati verziót használó Windows-eszközökön és iPadeken natívak.

Felhasználói identitás

A Microsoft 365 for frontline workers az Microsoft Entra ID azonosítót használja alapul szolgáló identitásszolgáltatásként az összes alkalmazás és erőforrás biztosításához és védelméhez. A Microsoft 365-felhőalkalmazások eléréséhez a felhasználóknak rendelkezniük kell Microsoft Entra azonosítóban található identitással.

Ha úgy dönt, hogy az előtérbeli felhasználói identitásokat Active Directory tartományi szolgáltatások (AD DS) vagy külső identitásszolgáltatóval kezeli, ezeket az identitásokat össze kell fűznie Microsoft Entra azonosítóhoz. Ismerje meg, hogyan integrálhatja harmadik féltől származó szolgáltatását Microsoft Entra id azonosítóval.

Az előtérbeli identitások kezelésének lehetséges megvalósítási mintái a következők:

  • Microsoft Entra önálló: A szervezet a felhasználói, eszköz- és alkalmazásidentitásokat az Microsoft Entra ID-ban hozza létre és kezeli önálló identitásmegoldásként az előtérbeli számítási feladatokhoz. Ez a megvalósítási minta ajánlott, mivel leegyszerűsíti az előtérbeli üzembehelyezési architektúrát, és maximalizálja a teljesítményt a felhasználói bejelentkezés során.
  • Active Directory tartományi szolgáltatások (AD DS) integrációja Microsoft Entra azonosítóval: A Microsoft Microsoft Entra Connectet biztosít a két környezethez való csatlakozáshoz. Microsoft Entra Connect replikálja az AD-felhasználói fiókokat Microsoft Entra azonosítóra, így a felhasználó egyetlen identitással rendelkezhet, amely helyi és felhőalapú erőforrásokhoz is hozzáfér. Bár az AD DS és a Microsoft Entra ID is létezhet független címtárkörnyezetként, hibrid könyvtárakat is létrehozhat.
  • Külső identitáskezelési megoldás szinkronizálása Microsoft Entra-azonosítóval: Microsoft Entra azonosító támogatja az integrációt olyan külső identitásszolgáltatókkal, mint az Okta és a Ping Identity összevonással. További információ a külső identitásszolgáltatók használatáról.

HR-alapú felhasználóátadás

A felhasználók átadásának automatizálása gyakorlati igény azoknak a szervezeteknek, amelyek azt szeretnék, hogy a frontvonalbeli alkalmazottak az első napon hozzáférhessenek az alkalmazásokhoz és az erőforrásokhoz. Biztonsági szempontból az is fontos, hogy automatizálja a leépítést az alkalmazottak kivezetése során, hogy a korábbi alkalmazottak ne férhessenek hozzá a vállalati erőforrásokhoz.

Microsoft Entra felhasználóátadási szolgáltatás olyan felhőalapú és helyszíni HR-alkalmazásokkal integrálható, mint a Workday és az SAP SuccessFactors. A szolgáltatás konfigurálható úgy, hogy automatizálja a felhasználók átadását és megszüntetését, amikor egy alkalmazottat létrehoznak vagy letiltanak a HR-rendszerben.

Saját személyzet

Az Microsoft Entra ID-ban a Saját alkalmazottak funkcióval a gyakori felhasználókezelési feladatokat delegálhatja az előtérbeli vezetőknek az Oktatói portálon keresztül. Az előtér-kezelők közvetlenül az áruházból vagy a gyárból kezelhetik az előtérbeli dolgozók telefonszámait anélkül, hogy a kéréseket az ügyfélszolgálathoz, a műveletekhez vagy az it-hoz kellene irányítaniuk.

A Személyzetem azt is lehetővé teszi, hogy az előtérbeli vezetők regisztrálják a csapattagok telefonszámait az SMS-bejelentkezéshez. Ha az SMS-alapú hitelesítés engedélyezve van a szervezetben, az előtérbeli dolgozók csak a telefonszámuk és az SMS-en keresztül küldött egyszeri PIN-kód használatával jelentkezhetnek be a Teamsbe és más alkalmazásokba. Ez egyszerűvé, biztonságossá és gyorssá teszi a bejelentkezést az előtérbeli dolgozók számára.

Mobileszköz-kezelés

A mobileszköz-kezelési (MDM) megoldások leegyszerűsíthetik az eszközök üzembe helyezését, felügyeletét és monitorozását. Microsoft Intune natív módon támogatja a megosztott eszközök előtérbeli feldolgozók számára történő üzembe helyezéséhez fontos funkciókat. Ezek a képességek a következők:

  • Érintésmentes kiépítés: A rendszergazdák regisztrálhatják és előre konfigurálhatják a mobileszközöket az eszközök fizikai felügyelete nélkül (manuális konfigurálás esetén). Ez a képesség akkor hasznos, ha nagy léptékű megosztott eszközöket helyez üzembe a helyszíni helyekre, mivel az eszközök közvetlenül a kívánt előtérbeli helyre szállíthatók, ahol az automatikus konfigurációs és kiépítési lépések távolról is elvégezhetők.
  • Egyszeri kijelentkezés: Leállítja a háttérfolyamatokat, és automatizálja a felhasználói kijelentkezéseket az előző felhasználóhoz rendelt összes alkalmazásban és erőforrásban, amikor egy új felhasználó bejelentkezik. Az egyszeri kijelentkezés használatához az Android- és iOS-eszközöket megosztott eszköz módban kell regisztrálni.
  • Microsoft Entra feltételes hozzáférés: Az informatikai rendszergazdák identitásalapú jeleken keresztül automatizált hozzáférés-vezérlési döntéseket hozhatnak a felhőalapú alkalmazásokhoz és erőforrásokhoz. Megakadályozhatja például egy megosztott vagy BYOD-eszköz hozzáférését, amely nem rendelkezik a legújabb biztonsági frissítésekkel. További információ az üzembe helyezés biztonságossá tételéről.

Ha külső MDM-megoldást használ a megosztott eszközök üzembe helyezéséhez, például a VMware 1. munkaterületét vagy a SOTI MobiControlt, fontos tisztában lenni a kapcsolódó képességekkel, korlátozásokkal és az elérhető megkerülő megoldásokkal.

Egyes külső MDM-ekkel törölhetők az alkalmazásadatok, ha globális kijelentkezés történik egy Android-eszközön. Az alkalmazásadatok törlése azonban kihagyhatja a megosztott helyen tárolt adatokat, törölheti az alkalmazásbeállításokat, vagy az első futtatáskor megjelenő élmények újra jelentkezhetnek. A megosztott eszközmódban regisztrált Android-eszközök szelektíven törölhetik a szükséges alkalmazásadatokat az eszköz bejelentkezésekor vagy amikor az új felhasználó bejelentkezik az eszközre. További információ a megosztott eszköz módban történő hitelesítésről.

A megosztott eszköz módot manuálisan is konfigurálhatja külső MDM-megoldásokban iOS- és Android-eszközökhöz, a manuális konfigurációs lépések azonban nem jelölik meg az eszköz megfelelőként Microsoft Entra azonosítót, ami azt jelenti, hogy ebben a forgatókönyvben a feltételes hozzáférés nem támogatott. Ha úgy dönt, hogy manuálisan konfigurálja az eszközöket megosztott eszköz módban, további lépésekkel újra kell regisztrálnia az Android-eszközöket megosztott eszköz módban érintésmentes kiépítéssel, hogy feltételes hozzáférési támogatást kapjon, ha külső MDM-támogatás érhető el az Authenticator eszközről való eltávolításával és újratelepítésével.

Egy eszköz csak egy MDM-megoldásban regisztrálható, de több MDM-megoldással külön eszközkészleteket is kezelhet. Használhatja például a Workspace ONE munkaterületet megosztott eszközökhöz, az Intune-t byod-hoz. Ha több MDM-megoldást használ, ne feledje, hogy előfordulhat, hogy egyes felhasználók nem tudnak hozzáférni a megosztott eszközökhöz a feltételes hozzáférési szabályzatok eltérése miatt.

MDM-megoldás Egyszeri kijelentkezés Érintésmentes kiépítés feltételes hozzáférés Microsoft Entra
Intune (Microsoft) Megosztott eszköz módban regisztrált Android- és iOS-eszközök esetén támogatott Megosztott eszköz módban regisztrált Android- és iOS-eszközök esetén támogatott Megosztott eszköz módban regisztrált Android- és iOS-eszközök esetén támogatott
1. munkaterület (VMware) Az Android-alkalmazásadatok törlése funkcióval támogatott. Nem érhető el iOS rendszeren Android és iOS rendszeren jelenleg nem érhető el. Android és iOS rendszeren jelenleg nem érhető el.
MobiControl (SOTI) A Wipe program adatfunkciói támogatják. IOS rendszeren nem érhető el. Android és iOS rendszeren jelenleg nem érhető el. Android és iOS rendszeren jelenleg nem érhető el.

Az Intune-ban regisztrált Windows-eszközök támogatják az egyszeri kijelentkezést, az érintésmentes kiépítést és a feltételes hozzáférés Microsoft Entra. Windows-eszközökön nem kell konfigurálnia a megosztott eszköz módot.

Az Intune byod-forgatókönyvekhez ajánlott, mert a lehető legjobb támogatást és funkcionalitást biztosítja az eszköztípusok között.

Android és iOS rendszerű személyes eszközök regisztrálása

A céges eszközök mellett a felhasználók személyes tulajdonú eszközeit is regisztrálhatja az Intune-ban való felügyeletre. BYOD-regisztráció esetén eszközfelhasználókat vehet fel a Microsoft Intune Felügyeleti központban, konfigurálhatja a regisztrációt, és intune-szabályzatokat állíthat be. A felhasználók maguk végzik el a regisztrációt az eszközükre telepített Intune Céges portál alkalmazásban.

Bizonyos esetekben a felhasználók nem szívesen regisztrálják személyes eszközeiket a felügyeletbe. Ha az eszközregisztráció nem lehetőség, mobilalkalmazás-kezelési (MAM) megközelítést választhat, és alkalmazásvédelmi szabályzatokkal kezelheti a vállalati adatokat tartalmazó alkalmazásokat. Alkalmazásvédelmi szabályzatokat alkalmazhat például a Teamsre és az Office-mobilalkalmazásokra, hogy a vállalati adatok ne legyenek átmásolva az eszközön lévő személyes alkalmazásokba.

További információ: "Személyes eszközök és szervezeti tulajdonú eszközök" az Intune tervezési útmutatójában és üzembe helyezési útmutatójában: Eszközök regisztrálása Microsoft Intune.

Hitelesítés

A hitelesítési funkciók azt szabályozzák, hogy ki vagy mi használ fiókot az alkalmazásokhoz, adatokhoz és erőforrásokhoz való hozzáféréshez. A megosztott eszközöket az élvonalbeli dolgozóknak üzembe helyező szervezeteknek olyan hitelesítési vezérlőkre van szükségük, amelyek nem akadályozzák a munkavégzők hatékonyságát, ugyanakkor megakadályozzák az alkalmazásokhoz és adatokhoz való jogosulatlan vagy nem szándékos hozzáférést, amikor az eszközöket a hitelesített felhasználók között továbbítják.

A Microsoft előtérbeli megoldása a felhőből származik, és Microsoft Entra id-t használja alapul szolgáló identitásszolgáltatásként a Microsoft 365-alkalmazások és -erőforrások biztonságossá tételéhez. Az Microsoft Entra id ezen hitelesítési funkciói a megosztott eszközök központi telepítésének egyedi szempontjait kezelik: az automatikus egyszeri bejelentkezést, az egyszeri kijelentkezést és más erős hitelesítési módszereket.

Megosztott eszköz mód

A megosztott eszköz mód az Microsoft Entra azonosító egyik funkciója, amellyel konfigurálhatja az alkalmazottak által megosztott eszközöket. Ez a funkció lehetővé teszi az egyszeri bejelentkezést (SSO) és az eszközszintű kijelentkezéseket a Microsoft Teams és a megosztott eszköz módot támogató összes egyéb alkalmazás számára. Ezt a képességet integrálhatja üzletági (LOB) alkalmazásaiba a Microsoft Authentication Library (MSAL) használatával. Ha egy eszköz megosztott eszközmódban van, a Microsoft Authentication Libraryt (MSAL) használó alkalmazások észlelhetik, hogy megosztott eszközön futnak, és megállapíthatják, hogy ki az aktuális aktív felhasználó. Ezekkel az információkkal az alkalmazások elvégezhetik ezeket a hitelesítési vezérlőket:

  • Automatikus egyszeri bejelentkezés: Ha egy felhasználó már bejelentkezett egy másik MSAL-alkalmazásba, a rendszer a megosztott eszköz üzemmóddal kompatibilis bármely alkalmazásba bejelentkezik. Ez a korábbi egyszeri bejelentkezési élmény javulása, mivel tovább csökkenti az alkalmazásokhoz való hozzáféréshez szükséges időt az első alkalmazásba való bejelentkezés után azáltal, hogy nincs szükség arra, hogy a felhasználó egy korábban bejelentkezett fiókot válasszon.
  • Egyszeri kijelentkezés: Miután egy felhasználó kijelentkezik egy alkalmazásból az MSAL használatával, a megosztott eszköz móddal integrált összes többi alkalmazás leállíthatja a háttérfolyamatokat, és megkezdheti a kijelentkezési adatok törlési folyamatait, hogy megakadályozza a következő felhasználó jogosulatlan vagy nem kívánt hozzáférését.

A megosztott eszköz mód működése példaként a Teams használatával. Amikor egy alkalmazott a műszak elején bejelentkezik a Teamsbe, a rendszer automatikusan bejelentkezik minden olyan alkalmazásba, amely támogatja a megosztott eszköz módot az eszközön. A műszak végén, amikor kijelentkeznek a Teamsből, globálisan ki lesznek jelentkezve a megosztott eszköz módot támogató összes többi alkalmazásból. A kijelentkezés után az alkalmazott adatai és a vállalati adatok a Teamsben (beleértve a benne üzemeltetett alkalmazásokat) és a megosztott eszköz módot támogató összes többi alkalmazásban már nem érhetők el. Az eszköz készen áll a következő alkalmazottra, és biztonságosan átadható.

A megosztott eszköz mód az androidos alkalmazások adattörlési funkciójának továbbfejlesztése, mivel lehetővé teszi az alkalmazásfejlesztők számára a személyes felhasználói adatok szelektív törlését anélkül, hogy ez hatással lenne az alkalmazás beállításaira vagy a gyorsítótárazott adatokra. A megosztott eszközmód esetén az alkalmazás által az első futtatáskor megjelenő jelölők nem törlődnek, így a felhasználók nem látják az első futtatási felületet minden bejelentkezéskor.

A megosztott eszköz mód azt is lehetővé teszi, hogy egy eszköz egyszer regisztrálva legyen Microsoft Entra-azonosítóba az összes felhasználó számára, így egyszerűen létrehozhat olyan profilokat, amelyek biztonságossá teszik az alkalmazás- és adathasználatot a megosztott eszközön. Ez lehetővé teszi a feltételes hozzáférés támogatását anélkül, hogy újra kellene regisztrálnia az eszközt minden alkalommal, amikor egy új felhasználó hitelesíti magát az eszközön.

A Microsoft Authenticator alkalmazás telepítésével és a megosztott mód bekapcsolásával mobileszköz-kezelési (MDM)-megoldással (például Microsoft Intune vagy Microsoft Configuration Manager) készítheti elő a megosztani kívánt eszközt. A Teams és a megosztott eszköz módot támogató összes többi alkalmazás a megosztott mód beállításával kezeli az eszközön lévő felhasználókat. A használt MDM-megoldásnak a kijelentkezéskor eszközkarbantartást is végre kell hajtania.

Megjegyzés:

A megosztott eszköz mód nem teljes adatveszteség-megelőzési megoldás. A megosztott eszköz módot a Microsoft Application Manager (MAM) szabályzataival együtt kell használni, hogy az adatok ne szivárogjanak ki az eszköz azon területeire, amelyek nem használják a megosztott eszköz módot (például a helyi fájltárolást).

Előfeltételek és szempontok

A megosztott eszköz mód használatához az alábbi előfeltételeknek kell megfelelnie.

  • Az eszközön először telepítve kell lennie a Microsoft Authenticatornak.
  • Az eszközt megosztott eszközmódban kell regisztrálni.
  • Az ilyen előnyöket igénylő összes alkalmazásnak integrálnia kell az MSAL megosztott eszközmódú API-ival.

A MAM-szabályzatok szükségesek ahhoz, hogy megakadályozzák az adatok áthelyezését a megosztott eszköz módú alkalmazásokból a nem megosztott eszköz módú alkalmazásokba.

A megosztott eszköz mód érintésmentes kiépítése jelenleg csak az Intune-nal érhető el. Ha külső MDM-megoldást használ, az eszközöket a manuális konfigurációs lépések végrehajtásával kell regisztrálni megosztott eszköz módban.

Megjegyzés:

A feltételes hozzáférés nem teljes mértékben támogatott a manuálisan konfigurált eszközökön.

Egyes Microsoft 365-alkalmazások jelenleg nem támogatják a megosztott eszköz módot. Az alábbi táblázat összefoglalja az elérhető lehetőségeket. Ha a szükséges alkalmazás nem rendelkezik megosztott eszközmód-integrációval, javasoljuk, hogy futtassa az alkalmazás webes verzióját a Microsoft Teamsben vagy a Microsoft Edge-ben a megosztott eszköz mód előnyeinek kihasználásához.

A megosztott eszköz mód jelenleg androidos eszközökön támogatott. Íme néhány forrás, amely segítséget nyújt az első lépésekhez.

Android-eszközök regisztrálása megosztott eszközmódba

Az Android-eszközök megosztott eszközmódba való kezeléséhez és intune-beli regisztrálásához az eszközöknek az Android operációs rendszer 8.0-s vagy újabb verzióját kell futtatniuk, és google mobile services (GMS) kapcsolattal kell rendelkezniük. További információt az alábbi témakörökben találhat:

A Microsoft Managed Home Screen alkalmazást úgy is üzembe helyezheti, hogy személyre szabja a felhasználói élményt az Intune-ban regisztrált dedikált Android-eszközeiken. Managed Home Screen más jóváhagyott alkalmazások indítási eszközeként működik, és lehetővé teszi az eszközök testreszabását és az alkalmazottak hozzáférésének korlátozását. Megadhatja például, hogy az alkalmazások hogyan jelenjenek meg a kezdőképernyőn, hozzáadhatja a vállalati emblémát, egyéni háttérképet állíthat be, és engedélyezheti az alkalmazottaknak a munkamenet PIN-kódjának beállítását. Azt is beállíthatja, hogy a kijelentkezés automatikusan megtörténjen egy adott inaktivitási időszak után. További információt az alábbi témakörökben találhat:

Alkalmazások megosztott eszköz módhoz való létrehozását tervező fejlesztőknek

Ha Ön fejlesztő, az alábbi forrásokból megtudhatja, hogyan integrálhatja az alkalmazást a megosztott eszköz móddal:

Többtényezős hitelesítés

Microsoft Entra id számos különböző típusú többtényezős hitelesítést támogat az Authenticator alkalmazással, a FIDO2-kulcsokkal, az SMS-ekkel, a hanghívásokkal és egyebekkel.

A magasabb költségek és jogi korlátozások miatt a legbiztonságosabb hitelesítési módszerek nem feltétlenül praktikusak sok szervezet számára. A FIDO2 biztonsági kulcsokat például általában túl költségesnek tekintik, az olyan biometrikus eszközök, mint a Windows Hello, a meglévő szabályozásokkal vagy uniós szabályokkal ütközhetnek, és az SMS-bejelentkezés nem lehetséges, ha az előtérbeli dolgozók nem használhatják személyes eszközeiket.

A többtényezős hitelesítés magas szintű biztonságot nyújt az alkalmazások és az adatok számára, de folyamatos súrlódást biztosít a felhasználói bejelentkezéshez. A BYOD üzemelő példányokat választó szervezetek esetében a többtényezős hitelesítés gyakorlati megoldás lehet. Erősen ajánlott, hogy az üzleti és műszaki csapatok a széles körű bevezetés előtt ellenőrizzek a többtényezős hitelesítés felhasználói élményét, hogy a felhasználói hatás megfelelően figyelembe vehető legyen a változáskezelésben és a készenlétben.

Ha a többtényezős hitelesítés nem valósítható meg a szervezet vagy az üzembe helyezési modell számára, érdemes robusztus feltételes hozzáférési szabályzatokat használni a biztonsági kockázatok csökkentése érdekében.

Jelszó nélküli hitelesítés

Az előtérbeli munkaerő hozzáférésének további egyszerűsítése érdekében használhatja a jelszó nélküli hitelesítési módszereket, hogy a dolgozóknak ne kelljen megjegyezniük vagy begépelniük a jelszavukat. A jelszó nélküli hitelesítési módszerek általában biztonságosabbak is, és szükség esetén többen is megfelelnek az MFA-követelményeknek.

A jelszó nélküli hitelesítési módszer használata előtt meg kell határoznia, hogy működik-e a meglévő környezetben. Az olyan szempontok, mint a költségek, az operációs rendszer támogatása, a személyes eszközökre vonatkozó követelmények és az MFA-támogatás hatással lehetnek arra, hogy egy hitelesítési módszer megfelel-e az igényeinek. A FIDO2 biztonsági kulcsok például jelenleg túl drágák, és előfordulhat, hogy az SMS és az Authenticator bejelentkezés nem lehetséges, ha az előtérbeli dolgozók nem használhatják a személyes eszközeiket.

Az előtérbeli forgatókönyv jelszó nélküli hitelesítési módszereinek felméréséhez tekintse meg a táblázatot.

Módszer Operációs rendszer támogatása Személyes eszközt igényel Támogatja a többtényezős hitelesítést
SMS-bejelentkezés Android és iOS Igen Nem
Windows Hello A Windows Nem Igen
Microsoft Authenticator Minden Igen Igen
FIDO2-kulcs A Windows Nem Igen

Ha megosztott eszközökkel végzi az üzembe helyezést, és a korábbi jelszó nélküli beállítások nem kivitelezhetők, letilthatja az erős jelszókövetelményeket, hogy a felhasználók egyszerűbb jelszavakat tudjanak megadni a felügyelt eszközökre való bejelentkezéskor. Ha úgy dönt, hogy letiltja az erős jelszókövetelményeket, vegye fel ezeket a stratégiákat a megvalósítási tervbe.

  • Csak a megosztott eszközök felhasználóira vonatkozó erős jelszókövetelményeket tiltsa le.
  • Hozzon létre egy feltételes hozzáférési szabályzatot, amely megakadályozza, hogy ezek a felhasználók nem megosztott eszközökre jelentkezzenek be nem megbízható hálózatokon.

Engedélyezési

Az engedélyezési funkciók határozzák meg, hogy a hitelesített felhasználók mit tehetnek vagy férhetnek hozzá. A Microsoft 365-ben ez Microsoft Entra feltételes hozzáférési szabályzatok és alkalmazásvédelmi szabályzatok kombinációjával érhető el.

A robusztus engedélyezési vezérlők megvalósítása kritikus fontosságú eleme az előtérbeli megosztott eszközök üzembe helyezésének, különösen akkor, ha költség- vagy gyakorlati okokból nem lehet olyan erős hitelesítési módszereket implementálni, mint a többtényezős hitelesítés (MFA).

feltételes hozzáférés Microsoft Entra

A feltételes hozzáféréssel olyan szabályokat hozhat létre, amelyek a következő jelek alapján korlátozzák a hozzáférést:

  • Felhasználó- vagy csoporttagság
  • IP-cím helyadatai
  • Eszköz (csak akkor érhető el, ha az eszköz regisztrálva van Microsoft Entra-azonosítóban)
  • Alkalmazás
  • Valós idejű és számított kockázatészlelés

A feltételes hozzáférési szabályzatok a hozzáférés letiltására használhatók, ha egy felhasználó nem megfelelő eszközön vagy nem megbízható hálózaton van. Előfordulhat például, hogy feltételes hozzáféréssel szeretné megakadályozni, hogy a felhasználók hozzáférjenek egy leltáralkalmazáshoz, ha nem a munkahelyi hálózaton vannak, vagy nem felügyelt eszközt használnak, a szervezet vonatkozó törvények elemzésétől függően.

Olyan BYOD-forgatókönyvek esetében, ahol célszerű a munkán kívül hozzáférni az adatokhoz, például a HR-hez kapcsolódó információkhoz vagy a nem üzleti alkalmazásokhoz, dönthet úgy, hogy megengedőbb feltételes hozzáférési szabályzatokat implementál az erős hitelesítési módszerek, például a többtényezős hitelesítés mellett.

A feltételes hozzáférés a következő célokra támogatott:

  • Az Intune-ban felügyelt megosztott Windows-eszközök.
  • Megosztott eszköz módban regisztrált megosztott Android- és iOS-eszközök érintésmentes kiépítéssel.
  • ByOD For Windows, Android és iOS rendszerhez, intune-nal vagy külső MDM-megoldásokkal felügyelve.

A feltételes hozzáférés nem támogatott:

  • A megosztott eszközmóddal manuálisan konfigurált eszközök, beleértve a külső MDM-megoldásokkal felügyelt Android- és iOS-eszközöket.
  • Megosztott iPad Vállalati verziót használó iPad-eszközök.

Megjegyzés:

A külső MDM-megoldásokkal felügyelt Android-eszközök feltételes hozzáférése hamarosan elérhető lesz.

A feltételes hozzáféréssel kapcsolatos további információkért tekintse meg a feltételes hozzáférés Microsoft Entra dokumentációját.

szabályzatok Alkalmazásvédelem

Az Intune MAM-jával alkalmazásvédelmi szabályzatokat (APP) használhat az Intune APP SDK-jával integrált alkalmazásokkal. Ez lehetővé teszi a szervezet adatainak további védelmét egy alkalmazásban.

Az alkalmazásvédelmi szabályzatokkal hozzáférés-vezérlési biztosítékokat adhat hozzá, például:

  • Pin-kód megkövetelése egy alkalmazás munkahelyi környezetben való megnyitásához.
  • Az adatok alkalmazások közötti megosztásának szabályozása
  • A vállalati alkalmazásadatok személyes tárhelyre való mentésének megakadályozása
  • Győződjön meg arról, hogy az eszköz operációs rendszere naprakész

Az APP-k használatával azt is biztosíthatja, hogy az adatok ne szivárogjanak ki olyan alkalmazásokba, amelyek nem támogatják a megosztott eszköz módot. Az adatvesztés elkerülése érdekében a következő API-knak engedélyezve kell lenniük a megosztott eszközökön:

  • Tiltsa le a másolást/beillesztést a nem megosztott eszköz módú alkalmazásokba.
  • Tiltsa le a helyi fájlmentést.
  • Tiltsa le az adatátviteli képességeket a nem megosztott eszköz módú alkalmazásokba.

Az APP-k hasznosak a BYOD-forgatókönyvekben, mivel lehetővé teszik az adatok alkalmazásszintű védelmét anélkül, hogy a teljes eszközt felügyelni kellene. Ez olyan helyzetekben fontos, amikor az alkalmazottak egy másik bérlő (például egyetem vagy egy másik munkáltató) által felügyelt eszközzel rendelkeznek, és nem felügyelhetők egy másik vállalat által.

Alkalmazáskezelés

Az üzembehelyezési tervnek tartalmaznia kell azoknak az alkalmazásoknak a leltárát és értékelését, amelyekre az előtérbeli dolgozóknak szükségük lesz a munkájuk elvégzéséhez. Ez a szakasz azokat a szempontokat és lépéseket ismerteti, amelyek biztosítják, hogy a felhasználók hozzáférjenek a szükséges alkalmazásokhoz, és hogy a felhasználói élmény optimalizálva legyen az előtérbeli megvalósítás kontextusában.

Az értékelés szempontjából az alkalmazások három csoportba sorolhatók:

  • A Microsoft-alkalmazásokat a Microsoft készíti és támogatja. A Microsoft-alkalmazások támogatják Microsoft Entra azonosítóját, és integrálhatók az Intune APP SDK-jával. A megosztott eszköz mód azonban nem minden Microsoft-alkalmazást támogat. [Tekintse meg a támogatott alkalmazások és rendelkezésre állás listáját.] (hitelesítési könyvjelző)
  • A harmadik féltől származó alkalmazásokat egy külső szolgáltató készíti és értékesíti kereskedelmi forgalomban. Egyes alkalmazások nem támogatják az Microsoft Entra ID-t, az Intune APP SDK-ját vagy a megosztott eszköz módot. Az alkalmazásszolgáltatóval és a Microsoft-fiók csapatával együttműködve ellenőrizze, hogy mi lesz a felhasználói élmény.
  • Az egyéni üzletági alkalmazásokat a szervezet fejleszti a belső üzleti igények kielégítése érdekében. Ha a Power Apps használatával hoz létre alkalmazásokat, az alkalmazás automatikusan engedélyezve lesz Microsoft Entra id, Intune és megosztott eszköz módban.

Az előtérbeli felhasználók által elért alkalmazások megfelelnek ezeknek a követelményeknek (adott esetben) a globális egyszeri bejelentkezés és egyszeri kijelentkezés engedélyezéséhez.

  • Egyéni és külső alkalmazások integrálása az MSAL-sel: A felhasználók Microsoft Entra azonosítóval hitelesíthetik magukat az alkalmazásokban, engedélyezhetik az egyszeri bejelentkezést, és feltételes hozzáférési szabályzatokat alkalmazhatnak.
  • Alkalmazások integrálása megosztott eszközmóddal (csak Android vagy iOS rendszerű megosztott eszközökre vonatkozik): Az alkalmazások az MSAL-ben a szükséges megosztott eszközmódú API-kat használhatják az automatikus egyszeri bejelentkezéshez és az egyszeri kijelentkezéshez. Ezeknek az API-knak a megfelelő használatával integrálható a megosztott eszköz móddal. Erre nincs szükség, ha az alkalmazást a Teamsben, a Microsoft Edge-ben vagy a PowerAppsben futtatja.
  • Integrálás az Intune APP SDK-jával (csak Android vagy iOS rendszerű megosztott eszközökre vonatkozik): Az alkalmazások az Intune-ban kezelhetők a nem szándékos vagy jogosulatlan adatexpozíció megelőzése érdekében. Erre nincs szükség, ha az MDM törli az alkalmazásadatokat, és törli a bizalmas adatokat az eszközbejelentkeztetési folyamatok során (egyszeri kijelentkezés).

Miután sikeresen ellenőrizte az alkalmazásokat, üzembe helyezheti őket felügyelt eszközökön az MDM-megoldással. Ez lehetővé teszi az összes szükséges alkalmazás előtelepítését az eszközregisztráció során, hogy a felhasználók mindennel rendelkezzenek, amire szükségük van az első napon.

Alkalmazásindítók Android-eszközökhöz

Android-eszközökön a legjobb módszer arra, hogy egy alkalmazott megnyitásakor azonnal fókuszált élményt nyújtson, ha testreszabott indítási képernyőt biztosít. A testre szabott indítási képernyővel csak azokat a releváns alkalmazásokat jelenítheti meg, amelyeket az alkalmazottnak használnia kell, valamint vezérlőket, amelyek kiemelik a legfontosabb információkat.

A legtöbb MDM-megoldás saját alkalmazásindítót biztosít, amely használható. A Microsoft például Managed Home Screen biztosít. Ha saját egyéni alkalmazásindítót szeretne létrehozni a megosztott eszközökhöz, integrálnia kell azt a megosztott eszköz móddal, hogy az egyszeri bejelentkezés és az egyszeri kijelentkezés működjön az eszközein. Az alábbi táblázat a Microsoft és külső fejlesztők által ma elérhető leggyakoribb alkalmazásindítókat emeli ki.

Alkalmazásindító Képességek
Managed Home Screen Akkor használja Managed Home Screen, ha azt szeretné, hogy a végfelhasználók hozzáférjenek az Intune-ban regisztrált dedikált eszközökön futó alkalmazások egy adott készletéhez. Mivel a Managed Home Screen automatikusan elindítható alapértelmezett kezdőképernyőként az eszközön, és a végfelhasználó számára az egyetlen kezdőképernyőként jelenik meg, a megosztott eszközök esetében hasznos, ha zárolt felületre van szükség.
Microsoft Launcher A Microsoft Launcher lehetővé teszi, hogy a felhasználók személyre szabhassák telefonjukat, útközben is rendszerezettek maradjanak, és átvihessék a munkájukat a telefonjukról a számítógépükre. A Microsoft Launcher különbözik a Managed Home Screen-től, mert lehetővé teszi a végfelhasználó számára a szokásos kezdőképernyő elérését. A Microsoft Launcher ezért hasznos a BYOD-forgatókönyvekben.
VMware Workspace ONE Launcher A VMware-t használó ügyfelek számára a Workspace ONE Launcher az a legjobb eszköz, amellyel az előtérbeli munkaerőnek hozzá kell férnie az alkalmazásokhoz. Az indító kijelentkezési lehetősége az Android App Data Clear használatát is lehetővé teszi a VMware-eszközökön való egyszeri kijelentkezéshez. A VMware Workspace ONE Launcher jelenleg nem támogatja a megosztott eszköz módot.
Egyéni alkalmazásindító Ha teljesen testre szabott élményt szeretne, létrehozhatja saját egyéni alkalmazásindítóját. A indítót integrálhatja megosztott eszköz módba, így a felhasználóknak csak egyszer kell bejelentkeznie és kijelentkeznie.