Apparaten voor frontlijnmedewerkers beheren
In elke branche vormen frontlinemedewerkers een groot segment van het personeel. Frontline-werkrollen zijn onder andere winkelmedewerkers, fabrieksmedewerkers, buitendienst- en servicetechnici, gezondheidszorgpersoneel en nog veel meer.
Overzicht
Omdat het personeel grotendeels mobiel is en vaak op ploegenbasis is, is het beheren van de apparaten die frontlinemedewerkers gebruiken van fundamenteel belang. Enkele vragen om rekening mee te houden:
- Maken werknemers gebruik van apparaten in bedrijfseigendom of hun eigen persoonlijke apparaten?
- Worden apparaten in bedrijfseigendom gedeeld tussen werknemers of toegewezen aan een persoon?
- Nemen werknemers apparaten mee naar huis of laten ze deze op de werkplek achter?
Het is belangrijk om een veilige, conforme basislijn in te stellen voor het beheer van apparaten voor uw personeel, of het nu om gedeelde apparaten gaat of om eigen apparaten van werknemers. In dit artikel vindt u een overzicht van algemene scenario's en beheermogelijkheden voor frontlinemedewerkers om uw werknemers meer mogelijkheden te bieden en tegelijkertijd bedrijfsgegevens te beschermen.
Apparaattypen
Gedeelde, bring-your-own- en kioskapparaten zijn de meest voorkomende apparaattypen die door frontlinemedewerkers worden gebruikt.
| Type apparaat | Beschrijving | Waarom gebruikt u | Implementatieoverwegingen |
|---|---|---|---|
| Gedeelde apparaten | Apparaten zijn eigendom van en worden beheerd door uw organisatie. Werknemers hebben toegang tot apparaten terwijl ze op het werk zijn. | Productiviteit van werknemers en klantervaring hebben de hoogste prioriteit. Werknemers hebben geen toegang tot organisatieresources terwijl ze niet op het werk zijn. Lokale wetgeving kan voorkomen dat persoonlijke apparaten voor zakelijke doeleinden worden gebruikt. |
Aanmelden/afmelden kan wrijving toevoegen aan de werkervaring. Potentieel voor onbedoeld delen van gevoelige gegevens. |
| Bring-your-own devices (BYOD) | Persoonlijke apparaten zijn eigendom van de gebruiker en worden beheerd door uw organisatie. | Uw bestaande MDM-oplossing (Mobile Device Management) voorkomt dat uw organisatie een model voor gedeelde apparaten gebruikt. Gedeelde apparaten of toegewezen apparaten zijn mogelijk onpraktisch vanuit het oogpunt van kosten of bedrijfsgereedheid. |
Ondersteuningscomplexiteit is mogelijk niet haalbaar in veldlocaties. Persoonlijke apparaten variëren in besturingssysteem, opslag en connectiviteit. Sommige werknemers hebben mogelijk geen betrouwbare toegang tot een persoonlijk mobiel apparaat. U kunt potentiële loonaansprakelijkheid krijgen als werknemers toegang krijgen tot resources terwijl ze niet zijn ingeklokt. Persoonlijk apparaatgebruik kan in strijd zijn met de regels van de vakbond of overheidsvoorschriften. |
| Kioskapparaten | Apparaten zijn eigendom van en worden beheerd door uw organisatie. Gebruikers hoeven zich niet aan of af te melden. | Het apparaat heeft een specifiek doel. Gebruiksvoorbeeld vereist geen gebruikersverificatie. |
Samenwerkings-, communicatie-, taak- en werkstroomtoepassingen hebben een gebruikersidentiteit nodig om te kunnen functioneren. Niet mogelijk om gebruikersactiviteiten te controleren. Kan bepaalde beveiligingsmogelijkheden, waaronder meervoudige verificatie, niet gebruiken. |
Gedeelde apparaten en BYOD worden vaak gebruikt in frontline-implementaties. U kunt mogelijkheden gebruiken die in de volgende secties van dit artikel worden besproken om de zorgen van uw organisatie over de gebruikerservaring, onbevoegde werkroltoegang tot gegevens en resources en de mogelijkheid om apparaten op schaal te implementeren en te beheren, op te lossen of te beperken.
Opmerking
Kioskapparaatimplementaties worden niet aanbevolen omdat ze geen gebruikerscontrole en op gebruikers gebaseerde beveiligingsmogelijkheden zoals meervoudige verificatie toestaan. Meer informatie over kioskapparaten.
Gedeelde apparaten
Veel frontlinemedewerkers gebruiken gedeelde mobiele apparaten om te werken. Gedeelde apparaten zijn apparaten die eigendom zijn van het bedrijf en die door werknemers gedeeld worden tussen taken, diensten of locaties.
Hier is een voorbeeld van een typisch scenario. Een organisatie heeft een groep apparaten in een oplaadstations die over alle werknemers moet worden verdeeld. Aan het begin van een dienst haalt een werknemer een apparaat op uit de groep en meldt hij zich aan bij Teams en andere zakelijke apps die essentieel zijn voor zijn of haar rol. Aan het einde van hun dienst melden ze zich af en brengen ze het apparaat terug naar de groep. Zelfs binnen dezelfde dienst kan een werknemer een apparaat terugbrengen wanneer deze een taak voltooit of uitklokt voor de lunch en vervolgens een ander apparaat ophalen wanneer hij weer inklokt.
Gedeelde apparaten bieden unieke beveiligingsuitdagingen. Werknemers kunnen bijvoorbeeld toegang hebben tot bedrijfs- of klantgegevens die niet beschikbaar mogen zijn voor anderen op hetzelfde apparaat.
Persoonlijke apparaten (BYOD)
Sommige organisaties gebruiken een BYOD-model (Bring-Your-Own-Device), waarbij frontlinemedewerkers hun eigen mobiele apparaten gebruiken voor toegang tot Teams en andere zakelijke apps. Hier volgt een overzicht van enkele manieren om toegang en naleving op persoonlijke apparaten te beheren.
Apparaatbesturingssysteem
Het implementatiemodel dat u selecteert, bepaalt gedeeltelijk de apparaatbesturingssystemen die u ondersteunt. Als u bijvoorbeeld een BYOD-model implementeert, moet u zowel Android- als iOS-apparaten ondersteunen. Als u een model voor gedeelde apparaten implementeert, bepaalt het besturingssysteem van het apparaat dat u kiest de beschikbare mogelijkheden. Windows-apparaten ondersteunen bijvoorbeeld systeemeigen de mogelijkheid om meerdere gebruikersprofielen op te slaan voor geautomatiseerde aanmelding en eenvoudige verificatie met Windows Hello. Met Android en iOS zijn meer stappen en vereisten van toepassing.
| Apparaat-besturingssysteem | Overwegingen |
|---|---|
| Windows | Systeemeigen ondersteuning voor het opslaan van meerdere gebruikersprofielen op het apparaat. Ondersteunt Windows Hello voor verificatie zonder wachtwoord. Vereenvoudigde implementatie- en beheermogelijkheden bij gebruik met Microsoft Intune. |
| Android | Beperkte systeemeigen mogelijkheden voor het opslaan van meerdere gebruikersprofielen op apparaten. Android-apparaten kunnen worden ingeschreven in de modus voor gedeelde apparaten om eenmalige aanmelding en afmelding te automatiseren. Robuust beheer van besturingselementen en API's. Bestaand ecosysteem van apparaten die zijn gebouwd voor frontlinegebruik. |
| iOS en iPadOS | iOS-apparaten kunnen worden ingeschreven in de modus voor gedeelde apparaten om eenmalige aanmelding en afmelding te automatiseren. Het opslaan van meerdere gebruikersprofielen op iPadOS-apparaten is mogelijk met Gedeelde iPad voor Bedrijven. Voorwaardelijke toegang is niet beschikbaar voor Gedeelde iPad voor Bedrijven vanwege de manier waarop Apple gebruikersprofielen partitioneert. |
In een implementatie van gedeelde apparaten zijn de mogelijkheid om meerdere gebruikersprofielen op een apparaat op te slaan om het aanmelden van gebruikers te vereenvoudigen en de mogelijkheid om app-gegevens van de vorige gebruiker te wissen (eenmalige afmelding) praktische vereisten voor frontlijnimplementaties. Deze mogelijkheden zijn systeemeigen op Windows-apparaten en iPads met gedeelde iPad voor Bedrijven.
Gebruikersidentiteit
Microsoft 365 for frontline workers gebruikt Microsoft Entra id als de onderliggende identiteitsservice voor het leveren en beveiligen van alle toepassingen en resources. Gebruikers moeten een identiteit hebben die aanwezig is in Microsoft Entra-id om toegang te krijgen tot Microsoft 365-cloudtoepassingen.
Als u ervoor kiest om frontlinegebruikersidentiteiten te beheren met Active Directory Domain Services (AD DS) of een id-provider van derden, moet u deze identiteiten federeren naar Microsoft Entra-id. Meer informatie over het integreren van uw service van derden met Microsoft Entra-id.
De mogelijke implementatiepatronen voor het beheren van frontline-identiteiten zijn:
- Microsoft Entra zelfstandig: uw organisatie maakt en beheert gebruikers-, apparaat- en toepassingsidentiteiten in Microsoft Entra id als zelfstandige identiteitsoplossing voor uw frontlinewerkbelastingen. Dit implementatiepatroon wordt aanbevolen omdat het uw frontline-implementatiearchitectuur vereenvoudigt en de prestaties tijdens het aanmelden van gebruikers maximaliseert.
- Active Directory Domain Services (AD DS) integratie met Microsoft Entra ID: Microsoft biedt Microsoft Entra Connect om deze twee omgevingen te koppelen. Microsoft Entra Connect repliceert AD-gebruikersaccounts naar Microsoft Entra-id, zodat een gebruiker één identiteit heeft die toegang heeft tot zowel lokale als cloudresources. Hoewel zowel AD DS als Microsoft Entra-id kunnen bestaan als onafhankelijke directory-omgevingen, kunt u ervoor kiezen om hybride directory's te maken.
- Synchronisatie van identiteitsoplossing van derden met Microsoft Entra-id: Microsoft Entra-id ondersteunt integratie met id-providers van derden, zoals Okta en Ping Identity via federatie. Meer informatie over het gebruik van externe id-providers.
Hr-gestuurde inrichting van gebruikers
Het automatiseren van het inrichten van gebruikers is een praktische behoefte voor organisaties die willen dat frontlinemedewerkers op dag één toegang hebben tot toepassingen en resources. Vanuit het oogpunt van beveiliging is het ook belangrijk om het ongedaan maken van inrichting tijdens offboarding van werknemers te automatiseren om ervoor te zorgen dat eerdere werknemers geen toegang tot bedrijfsresources behouden.
Microsoft Entra service voor het inrichten van gebruikers kan worden geïntegreerd met cloudgebaseerde en on-premises HR-toepassingen, zoals Workday en SAP SuccessFactors. U kunt de service configureren om het inrichten en ongedaan maken van de inrichting van gebruikers te automatiseren wanneer een werknemer wordt gemaakt of uitgeschakeld in het HR-systeem.
Mijn personeel
Met de functie Mijn personeel in Microsoft Entra-id kunt u algemene gebruikersbeheertaken delegeren aan frontlinemanagers via de portal Mijn personeel. Frontlinemanagers kunnen wachtwoordherstel uitvoeren of telefoonnummers voor frontlinemedewerkers rechtstreeks vanuit de winkel of de fabrieksvloer beheren, zonder dat ze de aanvragen hoeven door te sturen naar de helpdesk, operations of IT.
Mijn personeel stelt ook frontlinemanagers in staat om de telefoonnummers van hun teamleden te registreren voor sms-aanmelding. Als verificatie op basis van sms is ingeschakeld in uw organisatie, kunnen frontlinemedewerkers zich aanmelden bij Teams en andere apps met alleen hun telefoonnummers en een eenmalige wachtwoordcode die via sms wordt verzonden. Dit maakt het aanmelden voor frontlinemedewerkers eenvoudig, veilig en snel.
Mobile Device Management
Mdm-oplossingen (Mobile Device Management) kunnen de implementatie, het beheer en de bewaking van apparaten vereenvoudigen. Microsoft Intune biedt systeemeigen ondersteuning voor functies die belangrijk zijn voor het implementeren van gedeelde apparaten voor frontlijnmedewerkers. Deze mogelijkheden zijn onder andere:
- Zero-touch inrichten: IT-beheerders kunnen mobiele apparaten inschrijven en vooraf configureren zonder fysieke bewaking van de apparaten (voor handmatige configuratie). Deze mogelijkheid is handig bij het implementeren van gedeelde apparaten op schaal naar veldlocaties, omdat apparaten rechtstreeks naar de beoogde frontlijnlocatie kunnen worden verzonden, waar geautomatiseerde configuratie- en inrichtingsstappen op afstand kunnen worden uitgevoerd.
- Eenmalige afmelding: Hiermee worden achtergrondprocessen gestopt en wordt het afmelden van gebruikers geautomatiseerd voor alle toepassingen en resources die aan de vorige gebruiker zijn toegewezen wanneer een nieuwe gebruiker zich aanmeldt. Android- en iOS-apparaten moeten worden ingeschreven in de modus voor gedeelde apparaten om eenmalige afmelding te kunnen gebruiken.
- Microsoft Entra voorwaardelijke toegang: IT-beheerders kunnen geautomatiseerde beslissingen voor toegangsbeheer implementeren voor cloudtoepassingen en -resources via identiteitsgestuurde signalen. Het is bijvoorbeeld mogelijk om toegang te voorkomen door een gedeeld of BYOD-apparaat waarop niet de meest recente beveiligingsupdates zijn geïnstalleerd. Meer informatie over het beveiligen van uw implementatie.
Als u een MDM-oplossing van derden gebruikt voor de implementatie van uw gedeelde apparaten, zoals Workspace ONE van VMware of SOTI MobiControl, is het belangrijk om de bijbehorende mogelijkheden, beperkingen en beschikbare tijdelijke oplossingen te begrijpen.
Sommige MDM's van derden kunnen app-gegevens wissen wanneer een globale afmelding plaatsvindt op een Android-apparaat. Het wissen van app-gegevens kan echter gegevens missen die zijn opgeslagen op een gedeelde locatie, app-instellingen verwijderen of ervoor zorgen dat first-run-ervaringen opnieuw worden weergegeven. Android-apparaten die zijn ingeschreven in de modus voor gedeelde apparaten, kunnen de benodigde toepassingsgegevens selectief wissen tijdens het inchecken van het apparaat of wanneer de nieuwe gebruiker zich aanmeldt bij het apparaat. Meer informatie over verificatie in de modus voor gedeelde apparaten.
U kunt de modus voor gedeelde apparaten handmatig configureren in MDM-oplossingen van derden voor iOS- en Android-apparaten, maar handmatige configuratiestappen markeren het apparaat niet als compatibel in Microsoft Entra-id, wat betekent dat voorwaardelijke toegang in dit scenario niet wordt ondersteund. Als u ervoor kiest om apparaten handmatig te configureren in de modus voor gedeelde apparaten, moet u aanvullende stappen uitvoeren om Android-apparaten opnieuw in te schrijven in de modus voor gedeelde apparaten met zero-touch-inrichting om ondersteuning voor voorwaardelijke toegang te krijgen wanneer MDM-ondersteuning van derden beschikbaar is door Authenticator van het apparaat te verwijderen en opnieuw te installeren.
Een apparaat kan slechts in één MDM-oplossing worden ingeschreven, maar u kunt meerdere MDM-oplossingen gebruiken om afzonderlijke groepen apparaten te beheren. U kunt bijvoorbeeld Workspace ONE gebruiken voor gedeelde apparaten en Intune voor BYOD. Als u meerdere MDM-oplossingen gebruikt, moet u er rekening mee houden dat sommige gebruikers mogelijk geen toegang hebben tot gedeelde apparaten omdat het beleid voor voorwaardelijke toegang niet overeenkomt.
| MDM-oplossing | Eenmalige afmelding | Zero touch-inrichting | Voorwaardelijke toegang Microsoft Entra |
|---|---|---|---|
| Intune (Microsoft) | Ondersteund voor Android- en iOS-apparaten die zijn ingeschreven in de modus voor gedeelde apparaten | Ondersteund voor Android- en iOS-apparaten die zijn ingeschreven in de modus voor gedeelde apparaten | Ondersteund voor Android- en iOS-apparaten die zijn ingeschreven in de modus voor gedeelde apparaten |
| Workspace ONE (VMware) | Ondersteund met de mogelijkheden van Android-app-gegevens wissen . Niet beschikbaar voor iOS | Momenteel niet beschikbaar voor Android en iOS. | Momenteel niet beschikbaar voor Android en iOS. |
| MobiControl (SOTI) | Wordt ondersteund met de mogelijkheden voor het wissen van programmagegevens . Niet beschikbaar voor iOS. | Momenteel niet beschikbaar voor Android en iOS. | Momenteel niet beschikbaar voor Android en iOS. |
Windows-apparaten die zijn ingeschreven bij Intune ondersteunen eenmalige afmelding, zero touch-inrichting en Microsoft Entra voorwaardelijke toegang. U hoeft de modus voor gedeelde apparaten niet te configureren op Windows-apparaten.
Intune wordt aanbevolen voor BYOD-scenario's omdat het de beste ondersteuning en functionaliteit biedt voor alle apparaattypen.
Persoonlijke Android- en iOS-apparaten registreren
Naast uw apparaten in bedrijfseigendom kunt u de persoonlijke apparaten van gebruikers registreren voor beheer in Intune. Voor BYOD-inschrijving voegt u apparaatgebruikers toe in het Microsoft Intune-beheercentrum, configureert u hun inschrijvingservaring en stelt u Intune-beleid in. Gebruikers voltooien de registratie zelf in de Intune-bedrijfsportal-app die op hun apparaat is geïnstalleerd.
In sommige gevallen zijn gebruikers mogelijk terughoudend om hun persoonlijke apparaten voor beheer te registreren. Als apparaatregistratie geen optie is, kunt u een MAM-benadering (Mobile Application Management) kiezen en app-beveiligingsbeleid gebruiken om apps te beheren die bedrijfsgegevens bevatten. U kunt bijvoorbeeld app-beveiligingsbeleid toepassen op mobiele Teams- en Office-apps om te voorkomen dat bedrijfsgegevens worden gekopieerd naar persoonlijke apps op het apparaat.
Zie 'Persoonlijke apparaten versus apparaten die eigendom zijn van de organisatie' in de Intune planningshandleiding en Implementatierichtlijnen: Apparaten registreren bij Microsoft Intune voor meer informatie.
Verificatie
Verificatiefuncties bepalen wie of wat een account gebruikt om toegang te krijgen tot toepassingen, gegevens en resources. Organisaties die gedeelde apparaten implementeren voor frontlijnmedewerkers, hebben verificatiecontroles nodig die de productiviteit van werknemers niet belemmeren, terwijl onbevoegde of onbedoelde toegang tot toepassingen en gegevens wordt voorkomen wanneer apparaten worden overgedragen tussen geverifieerde gebruikers.
De frontlineoplossing van Microsoft wordt geleverd vanuit de cloud en maakt gebruik van Microsoft Entra ID als de onderliggende identiteitsservice voor het beveiligen van Microsoft 365-toepassingen en -resources. Deze verificatiefuncties in Microsoft Entra-id komen tegemoet aan de unieke overwegingen voor implementaties van gedeelde apparaten: automatische eenmalige aanmelding, eenmalige afmelding en andere sterke verificatiemethoden.
Modus voor gedeelde apparaten
De modus Gedeeld apparaat is een functie van Microsoft Entra-id waarmee u apparaten kunt configureren om te worden gedeeld door werknemers. Deze functie maakt eenmalige aanmelding (SSO) en apparaatbrede afmelding mogelijk voor Microsoft Teams en alle andere apps die de modus voor gedeelde apparaten ondersteunen. U kunt deze mogelijkheid integreren in uw Line-Of-Business-apps (LOB) met behulp van de Microsoft Authentication Library (MSAL). Zodra een apparaat zich in de modus gedeeld apparaat bevindt, kunnen toepassingen die gebruikmaken van Microsoft Authentication Library (MSAL) detecteren dat ze worden uitgevoerd op een gedeeld apparaat en bepalen wie de huidige actieve gebruiker is. Met deze informatie kunnen toepassingen deze verificatiebesturingselementen uitvoeren:
- Automatische eenmalige aanmelding: Als een gebruiker zich al heeft aangemeld bij een andere MSAL-toepassing, wordt de gebruiker aangemeld bij elke toepassing die compatibel is met de modus Gedeeld apparaat. Dit is een verbetering ten opzichte van de vorige ervaring met eenmalige aanmelding, omdat hiermee de tijd die nodig is om toegang te krijgen tot toepassingen na het aanmelden bij de eerste toepassing verder wordt verkort, doordat een gebruiker geen eerder aangemeld account hoeft te selecteren.
- Eenmalige afmelding: Zodra een gebruiker zich afmeldt bij een app met BEHULP van MSAL, kunnen alle andere toepassingen die zijn geïntegreerd met de modus gedeelde apparaten achtergrondprocessen stoppen en beginnen met het afmelden van processen voor het wissen van gegevens om onbevoegde of onbedoelde toegang door de volgende gebruiker te voorkomen.
Hier leest u hoe de modus voor gedeelde apparaten werkt, met Teams als voorbeeld. Wanneer een werknemer zich aan het begin van de dienst aanmeldt bij Teams, wordt deze automatisch aangemeld bij alle andere apps die de modus Gedeeld apparaat op het apparaat ondersteunen. Aan het einde van hun dienst, wanneer ze zich afmelden bij Teams, worden ze wereldwijd afgemeld bij alle andere apps die ondersteuning bieden voor de modus Gedeeld apparaat. Nadat u zich hebt afgemeld, zijn de gegevens en bedrijfsgegevens van de werknemer in Teams (inclusief apps die erin worden gehost) en in alle andere apps die ondersteuning bieden voor de modus gedeelde apparaten, niet meer toegankelijk. Het apparaat is klaar voor de volgende werknemer en kan veilig worden overgedragen.
De modus Gedeeld apparaat is een verbetering van de functionaliteit voor het wissen van app-gegevens voor Android, omdat toepassingsontwikkelaars hiermee persoonlijke gebruikersgegevens selectief kunnen wissen zonder dat dit van invloed is op app-instellingen of gegevens in de cache. In de modus Gedeeld apparaat worden de vlaggen waarmee een toepassing kan onthouden of een first run-ervaring wordt weergegeven, niet verwijderd, zodat gebruikers geen eerste uitvoering zien wanneer ze zich aanmelden.
In de modus Gedeeld apparaat kan een apparaat ook eenmaal worden ingeschreven bij Microsoft Entra-id voor alle gebruikers, zodat u eenvoudig profielen kunt maken die het gebruik van apps en gegevens op het gedeelde apparaat beveiligen. Hierdoor kunt u voorwaardelijke toegang ondersteunen zonder dat u het apparaat telkens opnieuw hoeft in te schrijven wanneer een nieuwe gebruiker zich bij het apparaat verifieert.
U gebruikt een MDM-oplossing (Mobile Device Management), zoals Microsoft Intune of Microsoft Configuration Manager om een apparaat voor te bereiden voor gedeelde apparaten door de Microsoft Authenticator-app te installeren en de gedeelde modus in te schakelen. Teams en alle andere apps die ondersteuning bieden voor de modus voor gedeelde apparaten, gebruiken de instelling voor de gedeelde modus om gebruikers op het apparaat te beheren. De MDM-oplossing die u gebruikt, moet ook een apparaatopschoning uitvoeren wanneer er afgemeld wordt.
Opmerking
De modus Gedeeld apparaat is geen volledige oplossing voor het voorkomen van gegevensverlies. De modus Gedeeld apparaat moet worden gebruikt in combinatie met het MAM-beleid (Microsoft Application Manager) om ervoor te zorgen dat gegevens niet lekken naar delen van het apparaat die geen gebruik maken van de modus voor gedeelde apparaten (bijvoorbeeld lokale bestandsopslag).
Vereisten en overwegingen
U moet voldoen aan de volgende vereisten om de modus voor gedeelde apparaten te gebruiken.
- Op het apparaat moet eerst Microsoft Authenticator zijn geïnstalleerd.
- Het apparaat moet worden ingeschreven in de modus gedeeld apparaat.
- Alle toepassingen die deze voordelen nodig hebben, moeten worden geïntegreerd met de MODUS-API's voor gedeelde apparaten in MSAL.
MAM-beleid is vereist om te voorkomen dat gegevens worden verplaatst van toepassingen waarvoor de modus voor gedeelde apparaten is ingeschakeld naar toepassingen waarvoor niet-gedeelde apparaatmodus is ingeschakeld.
Op dit moment is zero-touch inrichting van de modus voor gedeelde apparaten alleen beschikbaar met Intune. Als u een MDM-oplossing van derden gebruikt, moeten apparaten worden ingeschreven in de modus voor gedeelde apparaten met behulp van de handmatige configuratiestappen.
Opmerking
Voorwaardelijke toegang wordt niet volledig ondersteund voor apparaten die handmatig zijn geconfigureerd.
Sommige Microsoft 365-toepassingen bieden momenteel geen ondersteuning voor de modus voor gedeelde apparaten. De onderstaande tabel geeft een overzicht van wat er beschikbaar is. Als de toepassing die u nodig hebt, geen integratie van de modus voor gedeelde apparaten heeft, wordt u aangeraden een webversie van uw toepassing uit te voeren in Microsoft Teams of Microsoft Edge om te profiteren van de voordelen van de modus voor gedeelde apparaten.
De modus Gedeeld apparaat wordt momenteel ondersteund op Android-apparaten. Hier vindt u een aantal informatiebronnen die u helpen aan de slag te gaan.
Android-apparaten registreren voor de modus Gedeeld apparaat
Als u Android-apparaten wilt beheren en registreren voor de modus Gedeelde apparaten met behulp van Intune, moeten op apparaten Android OS versie 8.0 of hoger worden uitgevoerd en moet deze zijn verbonden met Google Mobile Services (GMS). Hier vindt u meer informatie:
- Intune-inschrijving instellen voor toegewezen Android Enterprise-apparaten
- Toegewezen Android Enterprise-apparaten inschrijven in Microsoft Entra modus voor gedeelde apparaten
U kunt er ook voor kiezen om de Microsoft Beheerd startscherm-app te implementeren om de ervaring aan te passen aan gebruikers op hun Intune ingeschreven Android-apparaten. Beheerd startscherm fungeert als startprogramma voor andere goedgekeurde apps, waarmee u apparaten kunt aanpassen en kunt beperken waartoe werknemers toegang hebben. U kunt bijvoorbeeld definiëren hoe apps worden weergegeven op het startscherm, uw bedrijfslogo toevoegen, aangepaste achtergrond instellen en werknemers toestaan een sessiepincode in te stellen. U kunt zelfs instellen dat afmelden automatisch gebeurt na een opgegeven periode van inactiviteit. Hier vindt u meer informatie:
- De Microsoft Beheerd startscherm-app voor Android Enterprise configureren
- Microsoft Beheerd startscherm instellen op toegewezen apparaten in de kioskmodus voor meerdere apps
Voor ontwikkelaars die apps maken voor de modus voor gedeelde apparaten
Als u een ontwikkelaar bent, raadpleegt u de volgende bronnen voor meer informatie over het integreren van uw app met de modus voor gedeelde apparaten:
Meervoudige verificatie
Microsoft Entra-id ondersteunt verschillende vormen van meervoudige verificatie met de Authenticator-app, FIDO2-sleutels, sms- en spraakoproepen en meer.
Vanwege hogere kosten en juridische beperkingen zijn de veiligste verificatiemethoden mogelijk niet praktisch voor veel organisaties. FIDO2-beveiligingssleutels worden bijvoorbeeld doorgaans als te duur beschouwd, biometrische hulpprogramma's zoals Windows Hello kunnen worden uitgevoerd in strijd met bestaande regelgeving of regels van de vakbond, en sms-aanmelding is mogelijk niet mogelijk als frontlinemedewerkers hun persoonlijke apparaten niet mogen meenemen naar het werk.
meervoudige verificatie biedt een hoog beveiligingsniveau voor toepassingen en gegevens, maar voegt voortdurende wrijving toe bij het aanmelden van gebruikers. Voor organisaties die BYOD-implementaties kiezen, kan meervoudige verificatie al dan niet een praktische optie zijn. Het wordt ten zeerste aanbevolen dat zakelijke en technische teams de gebruikerservaring valideren met meervoudige verificatie voordat de implementatie wordt uitgevoerd, zodat de impact van de gebruiker goed kan worden meegenomen in het wijzigingsbeheer en de gereedheidsinspanningen.
Als meervoudige verificatie niet haalbaar is voor uw organisatie of implementatiemodel, moet u van plan zijn om gebruik te maken van robuust beleid voor voorwaardelijke toegang om beveiligingsrisico's te verminderen.
Verificatie zonder wachtwoord
Om de toegang voor uw frontlinemedewerkers verder te vereenvoudigen, kunt u verificatiemethoden zonder wachtwoord gebruiken, zodat werknemers hun wachtwoorden niet hoeven te onthouden of in te voeren. Verificatiemethoden zonder wachtwoord zijn doorgaans ook veiliger en veel kunnen zo nodig voldoen aan MFA-vereisten.
Voordat u doorgaat met een verificatiemethode zonder wachtwoord, moet u bepalen of deze werkt in uw bestaande omgeving. Overwegingen zoals kosten, ondersteuning van het besturingssysteem, vereisten voor persoonlijke apparaten en MFA-ondersteuning kunnen van invloed zijn op de vraag of een verificatiemethode aan uw behoeften voldoet. Zo worden FIDO2-beveiligingssleutels momenteel als te duur beschouwd en zijn sms- en Authenticator-aanmelding mogelijk niet mogelijk als frontlijnmedewerkers hun persoonlijke apparaten niet mogen meenemen naar hun werk.
Raadpleeg de tabel om verificatiemethoden zonder wachtwoord te beoordelen voor uw frontlinescenario.
| Methode | Ondersteuning van het besturingssysteem | Vereist persoonlijk apparaat | Ondersteunt meervoudige verificatie |
|---|---|---|---|
| Sms-aanmelding | Android en iOS | Ja | Nee |
| Windows Hello | Windows | Nee | Ja |
| Microsoft Authenticator | Alles | Ja | Ja |
| FIDO2-sleutel | Windows | Nee | Ja |
Als u implementeert met gedeelde apparaten en de vorige opties zonder wachtwoord niet haalbaar zijn, kunt u ervoor kiezen om vereisten voor sterke wachtwoorden uit te schakelen, zodat gebruikers eenvoudigere wachtwoorden kunnen opgeven tijdens het aanmelden bij beheerde apparaten. Als u ervoor kiest om vereisten voor sterke wachtwoorden uit te schakelen, kunt u overwegen deze strategieën toe te voegen aan uw implementatieplan.
- Schakel alleen vereisten voor sterk wachtwoord uit voor gebruikers van gedeelde apparaten.
- Maak een beleid voor voorwaardelijke toegang dat voorkomt dat deze gebruikers zich aanmelden bij niet-gedeelde apparaten in niet-vertrouwde netwerken.
Vergunning
Autorisatiefuncties bepalen wat een geverifieerde gebruiker kan doen of waartoe ze toegang hebben. In Microsoft 365 wordt dit bereikt door een combinatie van Microsoft Entra beleid voor voorwaardelijke toegang en beleid voor toepassingsbeveiliging.
Het implementeren van robuuste autorisatiecontroles is een essentieel onderdeel van het beveiligen van de implementatie van gedeelde frontlineapparaten, met name als het om kosten of praktische redenen niet mogelijk is om sterke verificatiemethoden zoals meervoudige verificatie (MFA) te implementeren.
Voorwaardelijke toegang Microsoft Entra
Met voorwaardelijke toegang kunt u regels maken die de toegang beperken op basis van de volgende signalen:
- Lidmaatschap van gebruiker of groep
- IP-locatiegegevens
- Apparaat (alleen beschikbaar als het apparaat is ingeschreven bij Microsoft Entra-id)
- Toepassing
- Realtime en berekende risicodetectie
Beleid voor voorwaardelijke toegang kan worden gebruikt om de toegang te blokkeren wanneer een gebruiker zich op een niet-compatibel apparaat bevindt of zich in een niet-vertrouwd netwerk bevindt. U kunt bijvoorbeeld voorwaardelijke toegang gebruiken om te voorkomen dat gebruikers toegang hebben tot een inventaristoepassing wanneer ze zich niet op het werknetwerk bevinden of een onbeheerd apparaat gebruiken, afhankelijk van de analyse van de toepasselijke wetgeving van uw organisatie.
Voor BYOD-scenario's waarin het zinvol is om buiten het werk toegang te krijgen tot gegevens, zoals HR-gerelateerde informatie of niet-bedrijfsgerelateerde toepassingen, kunt u ervoor kiezen om een meer toelaatbaar beleid voor voorwaardelijke toegang te implementeren naast sterke verificatiemethoden zoals meervoudige verificatie.
Voorwaardelijke toegang wordt ondersteund voor:
- Gedeelde Windows-apparaten die worden beheerd in Intune.
- Gedeelde Android- en iOS-apparaten die zijn ingeschreven in de modus voor gedeelde apparaten met zero-touch-inrichting.
- BYOD voor Windows, Android en iOS die worden beheerd met Intune of MDM-oplossingen van derden.
Voorwaardelijke toegang wordt niet ondersteund voor:
- Apparaten die handmatig zijn geconfigureerd met de modus voor gedeelde apparaten, inclusief Android- en iOS-apparaten die worden beheerd met MDM-oplossingen van derden.
- iPad-apparaten die gebruikmaken van Gedeelde iPad voor Bedrijven.
Opmerking
Voorwaardelijke toegang voor Android-apparaten die worden beheerd met bepaalde MDM-oplossingen van derden is binnenkort beschikbaar.
Zie de documentatie over voorwaardelijke toegang Microsoft Entra voor meer informatie over voorwaardelijke toegang.
App-beveiliging beleid
Met MAM van Intune kunt u app-beveiligingsbeleid (APP) gebruiken met toepassingen die zijn geïntegreerd met de APP SDK van Intune. Hiermee kunt u de gegevens van uw organisatie binnen een toepassing verder beveiligen.
Met app-beveiligingsbeleid kunt u beveiliging voor toegangsbeheer toevoegen, zoals:
- Een pincode vereisen om een app te openen in een werkcontext.
- Het delen van gegevens tussen toepassingen beheren
- Voorkomen dat bedrijfsgegevens worden opgeslagen op een persoonlijke opslaglocatie
- Zorg ervoor dat het besturingssysteem van het apparaat up-to-date is
U kunt ook API's gebruiken om ervoor te zorgen dat gegevens niet lekken naar toepassingen die de modus voor gedeelde apparaten niet ondersteunen. Om gegevensverlies te voorkomen, moeten de volgende API's zijn ingeschakeld op gedeelde apparaten:
- Schakel kopiëren/plakken naar niet-gedeelde apparaatmodus ingeschakelde toepassingen uit.
- Lokaal bestand opslaan uitschakelen.
- Schakel mogelijkheden voor gegevensoverdracht uit naar toepassingen waarvoor niet-gedeelde apparaatmodus is ingeschakeld.
API's zijn handig in BYOD-scenario's omdat u hiermee uw gegevens op app-niveau kunt beveiligen zonder dat u het hele apparaat hoeft te beheren. Dit is belangrijk in scenario's waarin werknemers mogelijk een apparaat laten beheren door een andere tenant (bijvoorbeeld een universiteit of een andere werkgever) en niet door een ander bedrijf kunnen worden beheerd.
Toepassingsbeheer
Uw implementatieplan moet een inventarisatie en evaluatie bevatten van de toepassingen die frontlijnmedewerkers nodig hebben om hun werk te doen. In deze sectie worden overwegingen en noodzakelijke stappen besproken om ervoor te zorgen dat gebruikers toegang hebben tot de vereiste toepassingen en dat de ervaring wordt geoptimaliseerd in de context van uw frontline-implementatie.
Voor deze evaluatie worden toepassingen in drie groepen gecategoriseerd:
- Microsoft-toepassingen worden gebouwd en ondersteund door Microsoft. Microsoft-toepassingen ondersteunen Microsoft Entra-id en integreren met de APP SDK van Intune. Niet alle Microsoft-toepassingen worden echter ondersteund met de modus voor gedeelde apparaten. [Bekijk een lijst met ondersteunde toepassingen en beschikbaarheid.] (verificatiebladwijzer)
- Toepassingen van derden worden gebouwd en commercieel verkocht door een externe provider. Sommige toepassingen bieden geen ondersteuning voor Microsoft Entra-id, de APP SDK van Intune of de modus voor gedeelde apparaten. Neem contact op met de toepassingsprovider en uw Microsoft-accountteam om te bevestigen wat de gebruikerservaring zal zijn.
- Aangepaste Line-Of-Business-toepassingen worden door uw organisatie ontwikkeld om te voldoen aan interne bedrijfsbehoeften. Als u toepassingen bouwt met Power Apps, wordt uw app automatisch ingeschakeld met Microsoft Entra-id, Intune en modus voor gedeelde apparaten.
De toepassingen waartoe frontlinegebruikers toegang hebben, voldoen aan deze vereisten (indien van toepassing) voor het inschakelen van globale eenmalige aanmelding en eenmalige aanmelding.
- Aangepaste toepassingen en toepassingen van derden integreren met MSAL: Gebruikers kunnen zich bij uw toepassingen verifiëren met behulp van Microsoft Entra-id, eenmalige aanmelding inschakelen en beleid voor voorwaardelijke toegang kan worden toegepast.
- Toepassingen integreren met de modus gedeelde apparaten (alleen van toepassing op gedeelde Android- of iOS-apparaten): Toepassingen kunnen de benodigde API's voor gedeelde apparaatmodus in MSAL gebruiken om automatische eenmalige aanmelding en eenmalige afmelding uit te voeren. Als u deze API's op de juiste manier gebruikt, kunt u integreren met de modus voor gedeelde apparaten. Dit is niet nodig als u uw toepassing uitvoert in Teams, Microsoft Edge of PowerApps.
- Integreren met de APP SDK van Intune (alleen van toepassing op gedeelde Android- of iOS-apparaten): Toepassingen kunnen worden beheerd in Intune om onbedoelde of onbevoegde blootstelling van gegevens te voorkomen. Dit is niet nodig als uw MDM app-gegevens wist die gevoelige gegevens wissen tijdens incheckstromen van apparaten (eenmalige afmelding).
Zodra u uw toepassingen hebt gevalideerd, kunt u ze implementeren op beheerde apparaten met behulp van uw MDM-oplossing. Hiermee kunt u alle benodigde toepassingen vooraf installeren tijdens de apparaatinschrijving, zodat gebruikers op dag één alles hebben wat ze nodig hebben.
Startprogramma's voor apps voor Android-apparaten
Op Android-apparaten is een aangepast startscherm de beste manier om een gerichte ervaring te bieden zodra een werknemer een apparaat opent. Met een aangepast startscherm kunt u alleen de relevante toepassingen weergeven die een werknemer moet gebruiken en widgets die belangrijke informatie markeren.
De meeste MDM-oplossingen bieden hun eigen startprogramma voor apps dat kan worden gebruikt. Microsoft biedt bijvoorbeeld Beheerd startscherm. Als u uw eigen aangepast startprogramma voor apps wilt bouwen voor gedeelde apparaten, moet u dit integreren met de modus voor gedeelde apparaten, zodat eenmalige aanmelding en eenmalige afmelding op uw apparaten werken. In de volgende tabel ziet u enkele van de meest voorkomende startprogramma's voor apps die momenteel beschikbaar zijn door Microsoft en externe ontwikkelaars.
| Startprogramma voor apps | Mogelijkheden |
|---|---|
| Beheerd startscherm | Gebruik Beheerd startscherm wanneer u wilt dat uw eindgebruikers toegang hebben tot een specifieke set toepassingen op uw door Intune ingeschreven toegewezen apparaten. Omdat Beheerd startscherm automatisch kan worden gestart als het standaard startscherm op het apparaat en voor de eindgebruiker wordt weergegeven als het enige startscherm, is dit handig in scenario's met gedeelde apparaten wanneer een vergrendelde ervaring is vereist. |
| Microsoft Launcher | Met Microsoft Launcher kunnen gebruikers hun telefoon personaliseren, onderweg georganiseerd blijven en werk overzetten van hun telefoon naar hun pc. Microsoft Launcher verschilt van Beheerd startscherm omdat eindgebruikers hiermee toegang hebben tot hun standaard startscherm. Microsoft Launcher is daarom handig in BYOD-scenario's. |
| VMware Workspace ONE Launcher | Voor klanten die VMware gebruiken, is Workspace ONE Launcher het beste hulpmiddel om een set toepassingen te samenstellen waartoe uw frontlinemedewerkers toegang nodig hebben. De afmeldingsoptie van dit startprogramma is ook wat android-app-gegevens wissen voor eenmalige afmelding op VMware-apparaten mogelijk maakt. VMware Workspace ONE Launcher biedt momenteel geen ondersteuning voor de modus voor gedeelde apparaten. |
| Aangepast startprogramma voor apps | Als u een volledig aangepaste ervaring wilt, kunt u uw eigen aangepaste startprogramma voor apps bouwen. U kunt uw startprogramma integreren met de modus voor gedeelde apparaten, zodat uw gebruikers zich slechts één keer hoeven aan te melden. |
Verwante artikelen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor