Omówienie zarządzania urządzeniami dla pracowników pierwszej linii
Omówienie
W każdej branży pracownicy pierwszej linii stanowią dużą część siły roboczej. Role pracowników pierwszej linii obejmują pracowników handlu detalicznego, pracowników fabryki, techników terenowych i serwisowych, pracowników służby zdrowia i wielu innych.
Ponieważ pracownicy są w dużej mierze mobilni i często bazują na zmianach, zarządzanie urządzeniami używanymi przez pracowników pierwszej linii ma kluczowe znaczenie. Niektóre pytania do rozważenia:
- Czy pracownicy korzystają z urządzeń należących do firmy lub własnych urządzeń osobistych?
- Czy urządzenia należące do firmy są współużytkowane przez pracowników, czy przypisane do osoby fizycznej?
- Czy pracownicy zabierają urządzenia do domu lub zostawiają je w miejscu pracy?
Ważne jest, aby ustawić bezpieczny, zgodny punkt odniesienia do zarządzania urządzeniami dla pracowników, niezależnie od tego, czy są to urządzenia udostępnione, czy urządzenia należące do pracowników.
Ten artykuł zawiera omówienie typowych scenariuszy urządzeń pracowników pierwszej linii i możliwości zarządzania, które ułatwiają pracownikom ochronę danych firmy. Skorzystaj z informacji i zagadnień, aby ułatwić planowanie wdrożenia urządzenia pierwszej linii.
Wdrażanie urządzenia
Kluczowym krokiem w planowaniu jest określenie sposobu wdrażania urządzeń przenośnych na linii frontu i systemów operacyjnych do obsługi. Podejmij te decyzje z góry, aby można było ocenić wykonalność planu implementacji i infrastruktury IT, mając na uwadze te czynniki.
Modele wdrażania
Urządzenia udostępnione i urządzenie typu "przynieś własne urządzenie" (BYOD) są najczęściej używanymi typami urządzeń używanymi w organizacjach pierwszej linii. Poniższa tabela zawiera listę tych modeli wdrażania wraz z innymi i powiązanymi zagadnieniami.
| Typ urządzenia | Opis | Dlaczego warto używać | Zagadnienia dotyczące wdrażania |
|---|---|---|---|
| Urządzenia udostępnione | Urządzenia należące do organizacji i zarządzane przez nie. Pracownicy uzyskują dostęp do urządzeń podczas pracy. |
Wydajność procesów roboczych i środowisko klienta są priorytetem. Pracownicy nie mogą uzyskiwać dostępu do zasobów organizacji, gdy nie są w pracy. Lokalne przepisy mogą uniemożliwiać korzystanie z urządzeń osobistych do celów biznesowych. |
Zdefiniuj sposób logowania się na pierwszej linii i z urządzenia. Rozważ użycie Microsoft Entra zasad dostępu warunkowego do zabezpieczania urządzeń udostępnionych, gdy uwierzytelnianie wieloskładnikowe nie jest możliwe. |
| Przynieś własne urządzenie (BYOD) | Urządzenia osobiste należące do użytkownika i zarządzane przez organizację. | Chcesz zapewnić pracownikom wygodny sposób sprawdzania harmonogramów zmian, rozmowy z innymi osobami na temat zamiany zmian lub uzyskiwania dostępu do zasobów kadr, takich jak ich paystub. Urządzenia udostępnione lub dedykowane urządzenia mogą być niepraktyczne z punktu widzenia kosztów lub gotowości biznesowej. |
Urządzenia osobiste różnią się w zależności od systemu operacyjnego, magazynu i łączności. Korzystanie z urządzeń osobistych może być sprzeczne z przepisami związkowymi lub przepisami rządowymi. Niektórzy pracownicy mogą nie mieć niezawodnego dostępu do osobistego urządzenia przenośnego. |
| Urządzenia dedykowane1 | Urządzenia należące do organizacji i zarządzane przez nie oraz wystawione dla jednego użytkownika. | Proces roboczy wymaga dedykowanego numeru telefonu do odbierania połączeń i wiadomości SMS. Organizacja wymaga pełnej kontroli nad urządzeniem i sposobem korzystania z niego przez pracowników. |
Koszt dedykowanego sprzętu. Dodanie nakładu pracy na potrzeby złożoności wdrażania i obsługi może nie być możliwe w lokalizacjach pól. |
| Urządzenia kiosku2 | Urządzenia należące do organizacji i zarządzane przez nie. Użytkownicy nie muszą się logować ani wylogowywać. | Urządzenie ma dedykowany cel. Przypadek użycia nie wymaga uwierzytelniania użytkownika. |
Aplikacje do współpracy, komunikacji, zadań i przepływu pracy wymagają tożsamości użytkownika do działania. Nie można przeprowadzać inspekcji aktywności użytkowników. Nie można użyć niektórych funkcji zabezpieczeń, w tym uwierzytelniania wieloskładnikowego. |
1Dedykowane urządzenia są nietypowe we wdrożeniach pierwszej linii, głównie ze względu na wysokie koszty i nakład pracy związane z zarządzaniem w kontekście wysokiej rotacji personelu.
cyfra arabskaWdrożenia urządzeń kiosku nie są zalecane, ponieważ nie zezwalają na inspekcję użytkowników i funkcje zabezpieczeń oparte na użytkownikach, takie jak uwierzytelnianie wieloskładnikowe.
Dowiedz się więcej o urządzeniach kiosku.
W tym artykule koncentrujemy się na urządzeniach udostępnionych i modelu BYOD, ponieważ są to modele wdrażania, które odpowiadają praktycznym potrzebom większości wdrożeń pierwszej linii. Zapoznaj się z omówieniem zagadnień dotyczących planowania i możliwości zarządzania.
System operacyjny urządzenia
Wybrany model wdrażania częściowo określa obsługiwane systemy operacyjne urządzeń. Przykład:
- W przypadku zaimplementowania modelu urządzeń udostępnionych wybrany system operacyjny urządzenia określa dostępne możliwości. Na przykład urządzenia z systemem Windows natywnie obsługują możliwość przechowywania wielu profilów użytkowników w celu automatycznego logowania i łatwego uwierzytelniania przy użyciu Windows Hello. W systemach Android i iOS mają zastosowanie kolejne kroki i wymagania wstępne.
- Jeśli zaimplementujesz model BYOD, musisz obsługiwać zarówno urządzenia z systemem Android, jak i iOS.
| System operacyjny urządzenia | Zagadnienia dotyczące |
|---|---|
| Android |
Ograniczone możliwości natywne do przechowywania wielu profilów użytkowników na urządzeniach. Urządzenia z systemem Android można zarejestrować w trybie urządzenia udostępnionego, aby zautomatyzować logowanie jednokrotne i wylogowywać się oraz kierować zasady dostępu warunkowego. Niezawodne zarządzanie kontrolkami i interfejsami API. Istniejący ekosystem urządzeń utworzonych do użytku na pierwszej linii. |
| iOS i iPadOS | Urządzenia z systemem iOS można zarejestrować w trybie urządzenia udostępnionego, aby zautomatyzować logowanie jednokrotne i wylogować się. Przechowywanie wielu profilów użytkowników na urządzeniach z systemem iPadOS jest możliwe w przypadku udostępnionego tabletu iPad dla firm. |
| System Windows | Natywna obsługa przechowywania wielu profilów użytkowników na urządzeniu. Obsługuje Windows Hello uwierzytelniania bez hasła. Uproszczone możliwości wdrażania i zarządzania w przypadku użycia z Microsoft Intune. |
Poziome urządzenie
Podczas planowania wdrożenia urządzenia należy wziąć pod uwagę wiele obszarów powierzchni. W tej sekcji opisano krajobraz i terminy, które należy znać.
Zarządzanie urządzeniami przenośnymi
Rozwiązania do zarządzania urządzeniami przenośnymi (MDM), takie jak Microsoft Intune, upraszczają wdrażanie, zarządzanie i monitorowanie urządzeń.
Urządzenie można zarejestrować tylko w jednym rozwiązaniu MDM, ale można użyć wielu rozwiązań MDM do zarządzania oddzielnymi pulami urządzeń. Na przykład można użyć obszaru roboczego VMware ONE lub SOTI MobiControl dla urządzeń udostępnionych i Intune dla usługi BYOD. Jeśli używasz wielu rozwiązań MDM, pamiętaj, że niektórzy użytkownicy mogą nie mieć dostępu do urządzeń udostępnionych z powodu niezgodności zasad dostępu warunkowego lub zasad zarządzania aplikacjami mobilnymi (MAM).
Jeśli używasz rozwiązania MDM innej firmy, możesz zintegrować się ze zgodnością z Intune partnerami, aby korzystać z dostępu warunkowego dla urządzeń zarządzanych przez rozwiązania MDM innych firm.
Uruchamianie aplikacji dla urządzeń z systemem Android
Uruchamianie aplikacji to aplikacja, która umożliwia zapewnienie ukierunkowanego środowiska dla linii frontu z dostosowanym ekranem uruchamiania, takim jak aplikacje, tapety i pozycje ikon. Możesz wyświetlić tylko odpowiednie aplikacje, których potrzebują pracownicy pierwszej linii, oraz widżety, które wyróżniają kluczowe informacje.
Większość rozwiązań MDM udostępnia własne narzędzie do uruchamiania aplikacji. Na przykład Microsoft Intune udostępnia aplikację microsoft Zarządzany Ekran Główny. Możesz również utworzyć własny niestandardowy program uruchamiania.
W poniższej tabeli wymieniono niektóre z najpopularniejszych obecnie uruchamiaczy aplikacji dostępnych dla urządzeń z systemem Android przez firmę Microsoft i deweloperów innych firm.
| Uruchamianie aplikacji | Możliwości |
|---|---|
| Microsoft Zarządzany Ekran Główny | Użyj Zarządzany Ekran Główny, gdy chcesz, aby użytkownicy mieli dostęp do określonego zestawu aplikacji na urządzeniach dedykowanych zarejestrowanych w Intune. Ponieważ Zarządzany Ekran Główny mogą być automatycznie uruchamiane jako domyślny ekran główny na urządzeniu i są wyświetlane użytkownikowi jako jedyny ekran główny, jest to przydatne w scenariuszach urządzeń udostępnionych, gdy wymagane jest zablokowane środowisko. Dowiedz się więcej. |
| Uruchamianie programu VMware Workspace ONE | Jeśli używasz programu VMware, program Workspace ONE Launcher to narzędzie do wyselekcjonowania zestawu aplikacji, do których musi uzyskiwać dostęp twoja linia frontu. Program VMware Workspace ONE Launcher nie obsługuje obecnie trybu urządzenia udostępnionego. Dowiedz się więcej. |
| SOTI | Jeśli używasz usługi SOTI, narzędzie do uruchamiania aplikacji SOTI jest najlepszym narzędziem do wyselekcjonowania zestawu aplikacji, do których twoja linia frontu musi uzyskać dostęp. Uruchamianie aplikacji SOTI obsługuje tryb urządzenia udostępnionego już dziś. |
| BlueFletch | Narzędzie BlueFletch Launcher może być używane na urządzeniach, niezależnie od rozwiązania MDM. Rozwiązanie BlueFletch obsługuje tryb urządzenia udostępnionego już dziś. Dowiedz się więcej. |
| Uruchamianie aplikacji niestandardowych | Jeśli chcesz mieć w pełni dostosowane środowisko, możesz utworzyć własne niestandardowe narzędzie do uruchamiania aplikacji. Uruchamianie można zintegrować z trybem urządzenia udostępnionego, aby użytkownicy musieli zalogować się i wylogować się tylko raz. |
Zarządzanie tożsamościami
Usługa Microsoft 365 dla pracowników pierwszej linii używa Tożsamość Microsoft Entra jako podstawowej usługi tożsamości do dostarczania i zabezpieczania wszystkich aplikacji i zasobów. Aby uzyskać dostęp do aplikacji platformy Microsoft 365, użytkownicy muszą mieć tożsamość istniejącą w Tożsamość Microsoft Entra.
Jeśli zdecydujesz się zarządzać tożsamościami użytkowników pierwszej linii za pomocą usługi Active Directory Domain Services (AD DS) lub dostawcy tożsamości innej firmy, musisz sfederować te tożsamości, aby Tożsamość Microsoft Entra. Dowiedz się, jak zintegrować usługę innej firmy z usługą Tożsamość Microsoft Entra.
Możliwe wzorce implementacji do zarządzania tożsamościami pierwszej linii obejmują:
- Microsoft Entra autonomiczne: Organizacja tworzy tożsamości użytkowników, urządzeń i aplikacji oraz zarządza nimi w Tożsamość Microsoft Entra jako autonomiczne rozwiązanie do obsługi tożsamości dla obciążeń pierwszej linii. Ten wzorzec implementacji jest zalecany, ponieważ upraszcza architekturę wdrożenia pierwszej linii i maksymalizuje wydajność podczas logowania użytkownika.
- integracja Active Directory Domain Services (AD DS) z usługą Tożsamość Microsoft Entra: firma Microsoft udostępnia Microsoft Entra Connect, aby dołączyć do tych dwóch środowisk. Microsoft Entra Connect replikuje konta użytkowników usługi Active Directory do Tożsamość Microsoft Entra, co umożliwia użytkownikowi uzyskanie jednej tożsamości umożliwiającej dostęp do zasobów lokalnych i opartych na chmurze. Mimo że zarówno usługi AD DS, jak i Tożsamość Microsoft Entra mogą istnieć jako niezależne środowiska katalogowe, możesz wybrać opcję tworzenia katalogów hybrydowych.
- Synchronizacja rozwiązania tożsamości innej firmy z Tożsamość Microsoft Entra: Tożsamość Microsoft Entra obsługuje integrację z dostawcami tożsamości innych firm, takimi jak Okta i Ping Identity za pośrednictwem federacji. Dowiedz się więcej o korzystaniu z dostawców tożsamości innych firm.
Aprowizowanie użytkowników sterowane przez kadrę
Automatyzacja aprowizacji użytkowników jest praktyczną potrzebą organizacji, które chcą, aby pracownicy pierwszej linii mogli uzyskiwać dostęp do aplikacji i zasobów pierwszego dnia. Z punktu widzenia bezpieczeństwa ważne jest również zautomatyzowanie anulowania aprowizacji podczas wycofywania pracowników, aby zapewnić, że poprzedni pracownicy nie zachowają dostępu do zasobów firmy.
Microsoft Entra usługa aprowizacji użytkowników integruje się z chmurowymi i lokalnymi aplikacjami hr, takimi jak Workday i SAP SuccessFactors. Usługę można skonfigurować tak, aby automatyzować aprowizowanie i cofanie aprowizacji użytkowników po utworzeniu lub wyłączeniu pracownika w systemie kadr.
Aby dowiedzieć się więcej, zobacz:
- Co to jest aprowizowanie oparte na usłudze HR przy użyciu Tożsamość Microsoft Entra?
- Planowanie wdrożenia automatycznej aprowizacji użytkowników dla Tożsamość Microsoft Entra
Delegowanie zarządzania użytkownikami za pomocą mojego personelu
Dzięki funkcji Mój personel w Tożsamość Microsoft Entra możesz delegować typowe zadania zarządzania użytkownikami do menedżerów pierwszej linii za pośrednictwem portalu Mój personel. Menedżerowie linii frontu mogą przeprowadzać resetowanie haseł lub zarządzać numerami telefonów pracowników pierwszej linii bezpośrednio ze sklepu lub hali produkcyjnej bez konieczności kierowania żądań do pomocy technicznej, operacji lub it.
Mój personel umożliwia również menedżerom pierwszej linii rejestrowanie numerów telefonów członków zespołu na potrzeby logowania sms. Jeśli uwierzytelnianie oparte na wiadomościach SMS jest włączone w Organizacji, pracownicy pierwszej linii mogą logować się do aplikacji Teams i innych aplikacji przy użyciu tylko ich numerów telefonów i jednorazowego kodu dostępu wysyłanego za pośrednictwem wiadomości SMS. Dzięki temu logowanie się do pracowników pierwszej linii jest proste i szybkie.
Tryb urządzenia udostępnionego
Dzięki funkcji trybu urządzenia udostępnionego Tożsamość Microsoft Entra można skonfigurować urządzenia do udostępniania przez pracowników. Ta funkcja umożliwia logowanie jednokrotne i logowanie jednokrotne na całym urządzeniu dla aplikacji Teams i wszystkich innych aplikacji obsługujące tryb urządzenia udostępnionego.
Poniżej przedstawiono sposób działania trybu udostępnionego urządzenia przy użyciu usługi Teams jako przykładu. Gdy pracownik loguje się do aplikacji Teams na początku zmiany, automatycznie loguje się do wszystkich innych aplikacji obsługujące tryb urządzenia udostępnionego na urządzeniu. Gdy wylogują się z aplikacji Teams po zakończeniu zmiany, są wylogowyni ze wszystkich innych aplikacji, które obsługują tryb urządzenia udostępnionego. Po wylogowyniu nie można już uzyskiwać dostępu do danych pracownika i danych firmy w usłudze Teams i we wszystkich innych aplikacjach, które obsługują tryb urządzenia udostępnionego. Urządzenie jest gotowe do użycia przez następnego pracownika.
Tę możliwość można zintegrować z aplikacjami biznesowymi (LOB) przy użyciu biblioteki uwierzytelniania firmy Microsoft (MSAL).
Uwierzytelnianie
Funkcje uwierzytelniania kontrolują, kto lub co korzysta z konta w celu uzyskania dostępu do aplikacji, danych i zasobów.
Jak wspomniano wcześniej, platforma Microsoft 365 dla pracowników pierwszej linii używa Tożsamość Microsoft Entra jako podstawowej usługi tożsamości do zabezpieczania aplikacji i zasobów platformy Microsoft 365. Aby dowiedzieć się więcej na temat uwierzytelniania w Tożsamość Microsoft Entra, zobacz Co to jest uwierzytelnianie Microsoft Entra? i Jakie metody uwierzytelniania i weryfikacji są dostępne w Tożsamość Microsoft Entra?.
Uwierzytelnianie wieloskładnikowe
Microsoft Entra uwierzytelnianie wieloskładnikowe (MFA) działa, wymagając co najmniej dwóch z następujących metod uwierzytelniania podczas logowania:
- Coś, co użytkownik wie, zazwyczaj hasło.
- Coś, co użytkownik ma, takie jak zaufane urządzenie, które nie jest łatwo zduplikowane, takie jak telefon lub klucz sprzętowy.
- Coś, czym jest użytkownik — dane biometryczne, takie jak odcisk palca lub skanowanie twarzy.
Uwierzytelnianie wieloskładnikowe obsługuje kilka metod weryfikacji, w tym aplikację Microsoft Authenticator, klucze FIDO2, wiadomości SMS i połączenia głosowe.
Uwierzytelnianie wieloskładnikowe zapewnia wysoki poziom zabezpieczeń aplikacji i danych, ale zwiększa tarcie logowania użytkowników. W przypadku organizacji, które wybierają wdrożenia BYOD, uwierzytelnianie wieloskładnikowe może być praktyczną opcją. Zdecydowanie zaleca się, aby zespoły biznesowe i techniczne weryfikować środowisko użytkownika za pomocą uwierzytelniania wieloskładnikowego przed szerokim wdrożeniem, aby można było właściwie rozważyć wpływ użytkownika na zarządzanie zmianami i gotowość.
Jeśli uwierzytelnianie wieloskładnikowe nie jest możliwe dla organizacji lub modelu wdrażania, należy zaplanować użycie niezawodnych zasad dostępu warunkowego w celu zmniejszenia ryzyka bezpieczeństwa.
Uwierzytelnianie bez hasła
Aby jeszcze bardziej uprościć dostęp pracowników pierwszej linii, możesz użyć metod uwierzytelniania bez hasła, aby pracownicy nie musieli zapamiętywać ani wprowadzać haseł. Metody uwierzytelniania bez hasła usuwają użycie hasła podczas logowania i zastępują je następującymi elementami:
- Coś, co użytkownik ma, na przykład telefon lub klucz zabezpieczeń.
- Coś, co użytkownik jest lub wie, na przykład dane biometryczne lub numer PIN.
Metody uwierzytelniania bez hasła są również zwykle bezpieczniejsze, a wiele z nich może spełnić wymagania uwierzytelniania wieloskładnikowego, jeśli jest to konieczne.
Przed przystąpieniem do metody uwierzytelniania bez hasła określ, czy może działać w istniejącym środowisku. Zagadnienia takie jak koszty, obsługa systemu operacyjnego, wymagania dotyczące urządzeń osobistych i obsługa uwierzytelniania wieloskładnikowego mogą mieć wpływ na to, czy metoda uwierzytelniania będzie działać w zależności od potrzeb.
Zapoznaj się z poniższą tabelą, aby ocenić metody uwierzytelniania bez hasła dla scenariusza pierwszej linii.
| Metoda | Obsługa systemu operacyjnego | Wymaga urządzenia osobistego | Obsługuje uwierzytelnianie wieloskładnikowe |
|---|---|---|---|
| Microsoft Authenticator | Wszystkie | Tak | Tak |
| Logowanie sms | Systemy Android i iOS | Tak | Nie |
| Windows Hello | System Windows | Nie | Tak |
| Klucz FIDO2 | System Windows | Nie | Tak |
Aby dowiedzieć się więcej, zobacz Opcje uwierzytelniania bez hasła dla Tożsamość Microsoft Entra i Konfigurowanie i włączanie użytkowników na potrzeby uwierzytelniania opartego na programie SMS przy użyciu Tożsamość Microsoft Entra.
Autoryzacja
Funkcje autoryzacji kontrolują możliwości uwierzytelnionego użytkownika lub dostęp do nich. W usłudze Microsoft 365 można to osiągnąć za pomocą kombinacji Microsoft Entra zasad dostępu warunkowego i zasad ochrony aplikacji.
Implementowanie niezawodnych mechanizmów kontroli autoryzacji jest kluczowym elementem zabezpieczania wdrożenia urządzeń udostępnionych pierwszej linii, szczególnie jeśli nie można zaimplementować silnych metod uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe ze względów kosztowych lub praktycznych.
Microsoft Entra dostępu warunkowego
Za pomocą dostępu warunkowego można utworzyć reguły ograniczające dostęp na podstawie następujących sygnałów:
- Członkostwo użytkownika lub grupy
- Informacje o lokalizacji adresu IP
- Urządzenie (dostępne tylko wtedy, gdy urządzenie jest zarejestrowane w Tożsamość Microsoft Entra)
- Aplikacja
- Wykrywanie ryzyka w czasie rzeczywistym i obliczane
Zasady dostępu warunkowego mogą służyć do blokowania dostępu, gdy użytkownik znajduje się na niezgodnym urządzeniu lub gdy znajduje się w niezaufanej sieci. Na przykład możesz użyć dostępu warunkowego, aby uniemożliwić użytkownikom dostęp do aplikacji spisu, gdy nie znajdują się w sieci służbowej lub korzystają z urządzenia niezarządzanego, w zależności od analizy obowiązujących przepisów przez organizację.
W przypadku scenariuszy BYOD, w których warto uzyskiwać dostęp do danych poza pracą, takich jak informacje związane z kadrą, zarządzanie zmianami, czat o zamianie zmian lub aplikacje niezwiązane z firmą, możesz zaimplementować bardziej permisywne zasady dostępu warunkowego wraz z silnymi metodami uwierzytelniania, takimi jak uwierzytelnianie wieloskładnikowe.
Aby dowiedzieć się więcej, zobacz dokumentację Microsoft Entra dostępu warunkowego.
Zasady ochrony aplikacji
Zarządzanie aplikacjami mobilnymi (MAM) z Intune umożliwia korzystanie z zasad ochrony aplikacji z aplikacjami zintegrowanymi z zestawem Intune App SDK. Umożliwia to dalszą ochronę danych organizacji w aplikacji.
Dzięki zasadom ochrony aplikacji można dodać zabezpieczenia kontroli dostępu, takie jak:
- Kontrolowanie udostępniania danych między aplikacjami.
- Zapobiegaj zapisywaniu danych aplikacji firmowych w osobistej lokalizacji magazynu.
- Upewnij się, że system operacyjny urządzenia jest aktualny.
We wdrożeniu urządzeń udostępnionych można użyć zasad ochrony aplikacji, aby upewnić się, że dane nie wyciekają do aplikacji, które nie obsługują trybu urządzenia udostępnionego. W scenariuszach BYOD zasady ochrony aplikacji są przydatne, ponieważ umożliwiają ochronę danych na poziomie aplikacji bez konieczności zarządzania całym urządzeniem.
Ograniczanie dostępu do usługi Teams, gdy pracownicy pierwszej linii są poza zmianą
Dzięki funkcji czasu pracy można użyć zasad ochrony aplikacji, aby ograniczyć dostęp do aplikacji Teams dla pracowników zmianowych na urządzeniach BYOD lub dedykowanych urządzeniach należących do firmy. Ta funkcja umożliwia zablokowanie dostępu lub wyświetlenie komunikatu ostrzegawczego, gdy pracownicy pierwszej linii uzyskują dostęp do usługi Teams w czasie braku pracy.
Aby dowiedzieć się więcej, zobacz Ograniczanie dostępu do usługi Teams, gdy pracownicy pierwszej linii są poza zmianą.