Overzicht van apparaatbeheer voor frontlijnmedewerkers
Overzicht
In elke branche vormen frontlinemedewerkers een groot segment van het personeel. Frontline-werkrollen zijn onder andere winkelmedewerkers, fabrieksmedewerkers, buitendienst- en servicetechnici, gezondheidszorgpersoneel en nog veel meer.
Omdat het personeel grotendeels mobiel is en vaak op ploegenbasis is, is het beheren van de apparaten die frontlinemedewerkers gebruiken van fundamenteel belang. Enkele vragen om rekening mee te houden:
- Maken werknemers gebruik van apparaten in bedrijfseigendom of hun eigen persoonlijke apparaten?
- Worden apparaten in bedrijfseigendom gedeeld tussen werknemers of toegewezen aan een persoon?
- Nemen werknemers apparaten mee naar huis of laten ze deze op de werkplek achter?
Het is belangrijk om een veilige, conforme basislijn in te stellen voor het beheer van apparaten voor uw personeel, of het nu om gedeelde apparaten gaat of om eigen apparaten van werknemers.
In dit artikel vindt u een overzicht van algemene scenario's en beheermogelijkheden voor frontlinemedewerkers om uw werknemers meer mogelijkheden te bieden en tegelijkertijd bedrijfsgegevens te beschermen. Gebruik de informatie en overwegingen om de implementatie van uw frontlineapparaat te plannen.
Apparaatimplementatie
Een belangrijke stap in de planning is om te bepalen hoe u mobiele apparaten implementeert in uw frontline en welke besturingssystemen u wilt ondersteunen. Neem deze beslissingen vooraf zodat u de haalbaarheid van uw implementatieplan en IT-infrastructuur kunt evalueren met deze factoren in het achterhoofd.
Implementatiemodellen
Gedeelde apparaten en bring-your-own-device (BYOD) zijn de meest gebruikte apparaattypen die worden gebruikt in frontlineorganisaties. De volgende tabel bevat deze implementatiemodellen, samen met andere en gerelateerde overwegingen.
Type apparaat | Beschrijving | Waarom gebruiken | Implementatieoverwegingen |
---|---|---|---|
Gedeelde apparaten | Apparaten die eigendom zijn van en worden beheerd door uw organisatie. Werknemers hebben toegang tot apparaten terwijl ze op het werk zijn. |
Productiviteit van werknemers en klantervaring hebben de hoogste prioriteit. Werknemers hebben geen toegang tot organisatieresources wanneer ze niet op het werk zijn. Lokale wetgeving kan voorkomen dat persoonlijke apparaten worden gebruikt voor zakelijke doeleinden. |
Definieer hoe uw frontline zich aanmeldt en afmeldt bij het apparaat. Overweeg het gebruik van Microsoft Entra beleid voor voorwaardelijke toegang om gedeelde apparaten te beveiligen wanneer meervoudige verificatie (MFA) geen optie is. |
Bring-Your-Own Device (BYOD) | Persoonlijke apparaten die eigendom zijn van de gebruiker en worden beheerd door uw organisatie. | U wilt werknemers een handige manier geven om dienstroosters te controleren, met collega's te chatten over dienstenwisselingen of toegang te krijgen tot HR-resources zoals hun paystub. Gedeelde apparaten of toegewezen apparaten zijn mogelijk onpraktisch vanuit het oogpunt van kosten of bedrijfsgereedheid. |
Persoonlijke apparaten variëren in besturingssysteem, opslag en connectiviteit. Persoonlijk apparaatgebruik is mogelijk in strijd met de regels van de unie of overheidsvoorschriften. Sommige werknemers hebben mogelijk geen betrouwbare toegang tot een persoonlijk mobiel apparaat. |
Toegewezen apparaten1 | Apparaten die eigendom zijn van en worden beheerd door uw organisatie en die zijn uitgegeven aan één gebruiker. | Werkrol heeft een toegewezen telefoonnummer nodig om oproepen en sms-berichten te ontvangen. Organisatie vereist volledige controle over het apparaat en hoe werknemers het gebruiken. |
Kosten van toegewezen hardware. Extra inspanning voor implementatie en ondersteuningscomplexiteit is mogelijk niet haalbaar in veldlocaties. |
Kioskapparaten2 | Apparaten die eigendom zijn van en worden beheerd door uw organisatie. Gebruikers hoeven zich niet aan of af te melden. | Het apparaat heeft een specifiek doel. Gebruiksvoorbeeld vereist geen gebruikersverificatie. |
Samenwerkings-, communicatie-, taak- en werkstroom-apps hebben een gebruikersidentiteit nodig om te kunnen functioneren. Niet mogelijk om gebruikersactiviteiten te controleren. Kan bepaalde beveiligingsmogelijkheden, waaronder MFA, niet gebruiken. |
1Toegewezen apparaten zijn ongebruikelijk in frontlijnimplementaties, voornamelijk vanwege hoge kosten en inspanningen om te beheren in de context van een hoog personeelsgebruik.
Arabisch cijferKioskapparaatimplementaties worden niet aanbevolen omdat ze geen gebruikerscontrole en op gebruikers gebaseerde beveiligingsmogelijkheden zoals meervoudige verificatie toestaan.
Meer informatie over kioskapparaten.
In dit artikel richten we ons op gedeelde apparaten en BYOD, omdat dit de implementatiemodellen zijn die voldoen aan de praktische behoeften van de meeste frontlijnimplementaties. Lees verder voor een overzicht van planningsoverwegingen en beheermogelijkheden.
Apparaatbesturingssysteem
Het implementatiemodel dat u kiest, bepaalt gedeeltelijk de apparaatbesturingssystemen die u ondersteunt. Bijvoorbeeld:
- Als u een model voor gedeelde apparaten implementeert, bepaalt het besturingssysteem van het apparaat dat u kiest de beschikbare mogelijkheden. Windows-apparaten ondersteunen bijvoorbeeld systeemeigen de mogelijkheid om meerdere gebruikersprofielen op te slaan voor automatisch aanmelden en eenvoudige verificatie met Windows Hello. Met Android en iOS zijn meer stappen en vereisten van toepassing.
- Als u een BYOD-model implementeert, moet u zowel Android- als iOS-apparaten ondersteunen.
Apparaat-besturingssysteem | Overwegingen |
---|---|
Android |
Beperkte systeemeigen mogelijkheden voor het opslaan van meerdere gebruikersprofielen op apparaten. Android-apparaten kunnen worden ingeschreven in de modus voor gedeelde apparaten om eenmalige aanmelding en afmelding te automatiseren en beleid voor voorwaardelijke toegang te gebruiken. Robuust beheer van besturingselementen en API's. Bestaand ecosysteem van apparaten die zijn gebouwd voor frontlinegebruik. |
iOS en iPadOS | iOS-apparaten kunnen worden ingeschreven in de modus voor gedeelde apparaten om eenmalige aanmelding en afmelding te automatiseren. Het opslaan van meerdere gebruikersprofielen op iPadOS-apparaten is mogelijk met Gedeelde iPad voor Bedrijven. |
Windows | Systeemeigen ondersteuning voor het opslaan van meerdere gebruikersprofielen op het apparaat. Ondersteunt Windows Hello voor verificatie zonder wachtwoord. Vereenvoudigde implementatie- en beheermogelijkheden bij gebruik met Microsoft Intune. |
Apparaat liggend
Wanneer u de implementatie van uw apparaat plant, zijn er overwegingen voor meerdere oppervlakten. In deze sectie worden het landschap en de termen beschreven waarmee u vertrouwd moet zijn.
Mobile Device Management
MDM-oplossingen (Mobile Device Management), zoals Microsoft Intune, vereenvoudigen de implementatie, het beheer en de bewaking van apparaten.
Een apparaat kan slechts in één MDM-oplossing worden ingeschreven, maar u kunt meerdere MDM-oplossingen gebruiken om afzonderlijke groepen apparaten te beheren. U kunt bijvoorbeeld VMware Workspace ONE of SOTI MobiControl gebruiken voor gedeelde apparaten en Intune voor BYOD. Als u meerdere MDM-oplossingen gebruikt, moet u er rekening mee houden dat sommige gebruikers mogelijk geen toegang hebben tot gedeelde apparaten vanwege een niet-overeenkomende beleidsregels voor voorwaardelijke toegang of mam-beleid (Mobile Application Management).
Als u een MDM-oplossing van derden gebruikt, kunt u integreren met Intune partnercompatibiliteit om te profiteren van voorwaardelijke toegang voor apparaten die worden beheerd door MDM-oplossingen van derden.
Startprogramma's voor apps voor Android-apparaten
Een startprogramma voor apps is een app waarmee u een gerichte ervaring voor uw frontline kunt bieden met een aangepast startscherm, zoals apps, achtergrond en pictogramposities. U kunt alleen de relevante apps weergeven die uw frontlijnmedewerkers moeten gebruiken en widgets die belangrijke informatie markeren.
De meeste MDM-oplossingen bieden hun eigen startprogramma voor apps. Microsoft Intune biedt bijvoorbeeld de Microsoft Beheerd startscherm-app. U kunt ook uw eigen aangepaste startprogramma maken.
De volgende tabel bevat enkele van de meest voorkomende startprogramma's voor apps die momenteel beschikbaar zijn voor Android-apparaten door Microsoft en externe ontwikkelaars.
Startprogramma voor apps | Mogelijkheden |
---|---|
Microsoft Beheerd startscherm | Gebruik Beheerd startscherm als u wilt dat uw gebruikers toegang hebben tot een specifieke set apps op uw Intune toegewezen apparaten. Omdat Beheerd startscherm automatisch kan worden gestart als het standaard startscherm op het apparaat en voor de gebruiker wordt weergegeven als het enige startscherm, is dit handig in scenario's met gedeelde apparaten wanneer een vergrendelde ervaring is vereist. Meer informatie. |
VMware Workspace ONE Launcher | Als u VMware gebruikt, is workspace ONE Launcher een hulpprogramma voor het samenstellen van een set apps waartoe uw frontline toegang nodig heeft. VMware Workspace ONE Launcher biedt momenteel geen ondersteuning voor de modus voor gedeelde apparaten. Meer informatie. |
SOTI | Als u SOTI gebruikt, is het startprogramma voor SOTI-apps het beste hulpmiddel om een set apps te cureren waartoe uw frontline toegang nodig heeft. Het SOTI-startprogramma voor apps ondersteunt momenteel de modus voor gedeelde apparaten. |
BlueFletch | BlueFletch Launcher kan worden gebruikt op apparaten, ongeacht uw MDM-oplossing. BlueFletch ondersteunt momenteel de modus voor gedeelde apparaten. Meer informatie. |
Aangepast startprogramma voor apps | Als u een volledig aangepaste ervaring wilt, kunt u uw eigen aangepaste startprogramma voor apps bouwen. U kunt uw startprogramma integreren met de modus voor gedeelde apparaten, zodat uw gebruikers zich slechts één keer hoeven aan te melden. |
Identiteitsbeheer
Microsoft 365 for frontline workers gebruikt Microsoft Entra ID als de onderliggende identiteitsservice voor het leveren en beveiligen van alle apps en resources. Gebruikers moeten een identiteit hebben die aanwezig is in Microsoft Entra ID om toegang te krijgen tot Microsoft 365-apps.
Als u ervoor kiest om frontlinegebruikersidentiteiten te beheren met Active Directory Domain Services (AD DS) of een externe id-provider, moet u deze identiteiten federeren om te Microsoft Entra ID. Meer informatie over het integreren van uw service van derden met Microsoft Entra ID.
De mogelijke implementatiepatronen voor het beheren van frontline-identiteiten zijn:
- Microsoft Entra zelfstandig: uw organisatie maakt en beheert gebruikers-, apparaat- en app-identiteiten in Microsoft Entra ID als zelfstandige identiteitsoplossing voor uw frontlinewerkbelastingen. Dit implementatiepatroon wordt aanbevolen omdat het uw frontline-implementatiearchitectuur vereenvoudigt en de prestaties tijdens het aanmelden van gebruikers maximaliseert.
- Active Directory Domain Services (AD DS) integratie met Microsoft Entra ID: Microsoft biedt Microsoft Entra Connect om deze twee omgevingen te koppelen. Microsoft Entra Connect repliceert Active Directory-gebruikersaccounts naar Microsoft Entra ID, zodat een gebruiker één identiteit heeft die toegang heeft tot lokale en cloudresources. Hoewel zowel AD DS als Microsoft Entra ID kunnen bestaan als onafhankelijke directory-omgevingen, kunt u ervoor kiezen om hybride mappen te maken.
- Synchronisatie van identiteitsoplossing van derden met Microsoft Entra ID: Microsoft Entra ID ondersteunt integratie met id-providers van derden, zoals Okta en Ping Identity via federatie. Meer informatie over het gebruik van externe id-providers.
Hr-gestuurde inrichting van gebruikers
Het automatiseren van het inrichten van gebruikers is een praktische behoefte voor organisaties die willen dat frontlinemedewerkers op dag één toegang hebben tot apps en resources. Vanuit het oogpunt van beveiliging is het ook belangrijk om het ongedaan maken van inrichting tijdens offboarding van werknemers te automatiseren om ervoor te zorgen dat eerdere werknemers geen toegang tot bedrijfsresources behouden.
Microsoft Entra service voor het inrichten van gebruikers kan worden geïntegreerd met cloudgebaseerde en on-premises HR-apps, zoals Workday en SAP SuccessFactors. U kunt de service configureren om het inrichten en ongedaan maken van de inrichting van gebruikers te automatiseren wanneer een werknemer wordt gemaakt of uitgeschakeld in het HR-systeem.
Hier vindt u meer informatie:
- Wat is HR-gestuurd inrichten met Microsoft Entra ID?
- Een automatische implementatie van gebruikersinrichting plannen voor Microsoft Entra ID
Gebruikersbeheer delegeren met Mijn personeel
Met de functie Mijn personeel in Microsoft Entra ID kunt u algemene gebruikersbeheertaken delegeren aan frontlinemanagers via de portal Mijn personeel. Frontlinemanagers kunnen wachtwoordherstel uitvoeren of telefoonnummers voor frontlinemedewerkers rechtstreeks vanuit de winkel of de fabrieksvloer beheren, zonder dat ze de aanvragen hoeven door te sturen naar de helpdesk, operations of IT.
Mijn personeel stelt ook frontlinemanagers in staat om de telefoonnummers van hun teamleden te registreren voor sms-aanmelding. Als verificatie op basis van sms is ingeschakeld in uw organisatie, kunnen frontlinemedewerkers zich aanmelden bij Teams en andere apps met alleen hun telefoonnummers en een eenmalige wachtwoordcode die via sms wordt verzonden. Dit maakt het aanmelden voor frontlijnmedewerkers eenvoudig en snel.
Modus voor gedeelde apparaten
Met de functie voor gedeelde apparaatmodus van Microsoft Entra ID kunt u apparaten configureren om te worden gedeeld door werknemers. Deze functie maakt eenmalige aanmelding (SSO) en apparaatbrede afmelding mogelijk voor Teams en alle andere apps die de modus voor gedeelde apparaten ondersteunen.
Hier leest u hoe de modus voor gedeelde apparaten werkt, met Teams als voorbeeld. Wanneer een werknemer zich aan het begin van de dienst aanmeldt bij Teams, wordt deze automatisch aangemeld bij alle andere apps die de modus Gedeeld apparaat op het apparaat ondersteunen. Wanneer ze zich aan het einde van hun dienst afmelden bij Teams, worden ze afgemeld bij alle andere apps die de modus voor gedeelde apparaten ondersteunen. Nadat u zich hebt afgemeld, zijn de gegevens en bedrijfsgegevens van de werknemer in Teams en in alle andere apps die ondersteuning bieden voor de modus gedeelde apparaten, niet meer toegankelijk. Het apparaat is gereed voor gebruik door de volgende werknemer.
U kunt deze mogelijkheid integreren in uw LOB-apps (Line-Of-Business) met behulp van de Microsoft Authentication Library (MSAL).
Verificatie
Verificatiefuncties bepalen wie of wat een account gebruikt om toegang te krijgen tot toepassingen, gegevens en resources.
Zoals eerder vermeld, gebruikt Microsoft 365 for frontline workers Microsoft Entra ID als de onderliggende identiteitsservice voor het beveiligen van Microsoft 365-apps en -resources. Zie Wat is Microsoft Entra verificatie? en Welke verificatie- en verificatiemethoden zijn beschikbaar in Microsoft Entra ID? voor meer informatie over verificatie in Microsoft Entra ID.
Meervoudige verificatie
Microsoft Entra meervoudige verificatie (MFA) werkt door twee of meer van de volgende verificatiemethoden te vereisen bij het aanmelden:
- Iets wat de gebruiker weet, meestal een wachtwoord.
- Iets wat de gebruiker heeft, zoals een vertrouwd apparaat dat niet gemakkelijk kan worden gedupliceerd, zoals een telefoon of hardwaresleutel.
- Iets wat de gebruiker is: biometrische gegevens zoals een vingerafdruk of gezichtsscan.
MFA ondersteunt verschillende vormen van verificatiemethoden, waaronder de Microsoft Authenticator-app, FIDO2-sleutels, sms-berichten en spraakoproepen.
MFA biedt een hoog beveiligingsniveau voor apps en gegevens, maar voegt wrijving toe bij het aanmelden van gebruikers. Voor organisaties die BYOD-implementaties kiezen, kan MFA al dan niet een praktische optie zijn. Het wordt ten zeerste aanbevolen dat zakelijke en technische teams de gebruikerservaring met MFA valideren vóór een brede implementatie, zodat de impact van de gebruiker goed kan worden meegenomen in het wijzigingsbeheer en de gereedheidsinspanningen.
Als MFA niet haalbaar is voor uw organisatie of implementatiemodel, moet u een robuust beleid voor voorwaardelijke toegang gebruiken om beveiligingsrisico's te verminderen.
Verificatie zonder wachtwoord
Om de toegang voor uw frontlinemedewerkers verder te vereenvoudigen, kunt u verificatiemethoden zonder wachtwoord gebruiken, zodat werknemers hun wachtwoorden niet hoeven te onthouden of in te voeren. Verificatiemethoden zonder wachtwoord verwijderen het gebruik van een wachtwoord bij het aanmelden en vervangen door:
- Iets wat de gebruiker heeft, zoals een telefoon of beveiligingssleutel.
- Iets wat de gebruiker is of weet, zoals biometrie of een pincode.
Verificatiemethoden zonder wachtwoord zijn doorgaans ook veiliger en veel kunnen zo nodig voldoen aan MFA-vereisten.
Voordat u doorgaat met een verificatiemethode zonder wachtwoord, moet u bepalen of deze kan werken in uw bestaande omgeving. Overwegingen, zoals kosten, ondersteuning van het besturingssysteem, vereisten voor persoonlijke apparaten en MFA-ondersteuning, kunnen van invloed zijn op de vraag of een verificatiemethode aan uw behoeften voldoet.
Zie de volgende tabel om verificatiemethoden zonder wachtwoord te beoordelen voor uw frontlinescenario.
Methode | Ondersteuning van het besturingssysteem | Vereist persoonlijk apparaat | Ondersteunt MFA |
---|---|---|---|
Microsoft Authenticator | Alles | Ja | Ja |
Sms-aanmelding | Android en iOS | Ja | Nee |
Windows Hello | Windows | Nee | Ja |
FIDO2-sleutel | Windows | Nee | Ja |
Zie Verificatieopties zonder wachtwoord voor Microsoft Entra ID en Gebruikers configureren en inschakelen voor sms-verificatie met behulp van Microsoft Entra ID voor meer informatie.
Machtiging
Autorisatiefuncties bepalen wat een geverifieerde gebruiker kan doen of waartoe ze toegang hebben. In Microsoft 365 wordt dit bereikt door een combinatie van Microsoft Entra beleid voor voorwaardelijke toegang en app-beveiligingsbeleid.
Het implementeren van robuuste autorisatiecontroles is een essentieel onderdeel van het beveiligen van een frontline gedeelde apparaatimplementatie, met name als het om kosten- of praktische redenen niet mogelijk is om sterke verificatiemethoden zoals MFA te implementeren.
Voorwaardelijke toegang Microsoft Entra
Met voorwaardelijke toegang kunt u regels maken die de toegang beperken op basis van de volgende signalen:
- Lidmaatschap van gebruiker of groep
- IP-locatiegegevens
- Apparaat (alleen beschikbaar als het apparaat is ingeschreven bij Microsoft Entra ID)
- App
- Realtime en berekende risicodetectie
Beleid voor voorwaardelijke toegang kan worden gebruikt om de toegang te blokkeren wanneer een gebruiker zich op een niet-compatibel apparaat bevindt of zich in een niet-vertrouwd netwerk bevindt. U wilt bijvoorbeeld voorwaardelijke toegang gebruiken om te voorkomen dat gebruikers toegang hebben tot een inventaris-app wanneer ze zich niet op het werknetwerk bevinden of een onbeheerd apparaat gebruiken, afhankelijk van de analyse van de toepasselijke wetgeving van uw organisatie.
Voor BYOD-scenario's waarin het zinvol is om buiten het werk toegang te krijgen tot gegevens, zoals HR-gerelateerde informatie, dienstbeheer, chatten over het wisselen van diensten of niet-bedrijfsgerelateerde apps, kunt u ervoor kiezen om naast sterke verificatiemethoden zoals MFA een meer toegestaan beleid voor voorwaardelijke toegang te implementeren.
Zie de documentatie Microsoft Entra voor voorwaardelijke toegang voor meer informatie.
Beleid voor app-beveiliging
Met Mobile Application Management (MAM) van Intune kunt u beveiligingsbeleid voor apps gebruiken met apps die zijn geïntegreerd met de Intune App SDK. Hiermee kunt u de gegevens van uw organisatie in een app verder beveiligen.
Met app-beveiligingsbeleid kunt u beveiligingen voor toegangsbeheer toevoegen, zoals:
- Het delen van gegevens tussen apps beheren.
- Voorkomen dat bedrijfsgegevens worden opgeslagen op een persoonlijke opslaglocatie.
- Zorg ervoor dat het besturingssysteem van het apparaat up-to-date is.
In een implementatie van gedeelde apparaten kunt u app-beveiligingsbeleid gebruiken om ervoor te zorgen dat gegevens niet lekken naar apps die de modus voor gedeelde apparaten niet ondersteunen. In BYOD-scenario's is app-beveiligingsbeleid nuttig omdat u hiermee uw gegevens op app-niveau kunt beveiligen zonder dat u het hele apparaat hoeft te beheren.
Toegang tot Teams beperken wanneer frontlinemedewerkers buiten dienst zijn
Met de functie werktijd kunt u app-beveiligingsbeleid gebruiken om de toegang tot Teams te beperken voor ploegenwerkers op BYOD- of bedrijfseigendom toegewezen apparaten. Met deze functie kunt u de toegang blokkeren of een waarschuwingsbericht weergeven wanneer frontlijnmedewerkers Teams openen tijdens vrije tijd.
Zie De toegang tot Teams beperken wanneer frontlijnmedewerkers buiten dienst zijn voor meer informatie.