Udostępnij za pośrednictwem

Zarządzanie urządzeniami udostępnionymi dla pracowników pierwszej linii

  • Artykuł
  • Dotyczy:
    Microsoft Teams, Microsoft 365 for frontline workers

Omówienie

Wielu pracowników pierwszej linii używa udostępnionych urządzeń przenośnych do wykonywania pracy. Urządzenia udostępnione to urządzenia należące do firmy, które są współużytkowane przez pracowników między zadaniami, zmianami lub lokalizacjami.

Oto przykład typowego scenariusza. Organizacja ma pulę urządzeń w kołyskach do ładowania, które mają być współużytkowane przez wszystkich pracowników. Na początku zmiany pracownik odbiera urządzenie z puli i loguje się do usługi Microsoft Teams i innych aplikacji biznesowych niezbędnych do własnej roli. Po zakończeniu zmiany wylogują się i zwracają urządzenie do puli. Nawet w ramach tej samej zmiany, pracownik może zwrócić urządzenie po zakończeniu zadania lub wykreślić na lunch, a następnie odebrać inne, gdy zegar z powrotem w.

Urządzenia udostępnione stanowią unikatowe wyzwania w zakresie zabezpieczeń. Na przykład pracownicy mogą mieć dostęp do danych firmy lub klientów, które nie powinny być dostępne dla innych osób na tym samym urządzeniu. Organizacje wdrażające urządzenia udostępnione muszą zdefiniować środowisko logowania i wylogowywania oraz zaimplementować mechanizmy kontroli, aby zapobiec nieautoryzowanemu lub niezamierzonemu dostępowi do aplikacji i danych, gdy urządzenia są przekazywane między pracownikami.

W tym artykule opisano możliwości i zagadnienia dotyczące wdrażania urządzeń udostępnionych i zarządzania nimi, aby ułatwić pracownikom pierwszej linii korzystanie z urządzeń potrzebnych do wykonywania pracy. Skorzystaj z tych wskazówek, aby ułatwić planowanie wdrożenia na pierwszej linii i zarządzanie nimi.

Tryb urządzenia udostępnionego

Zalecamy korzystanie z trybu urządzenia udostępnionego dla urządzeń udostępnionych procesu roboczego pierwszej linii, jeśli jest to możliwe.

Tryb urządzenia udostępnionego to funkcja identyfikatora Entra firmy Microsoft, która umożliwia organizacjom konfigurowanie urządzenia z systemem Android, iOS lub iPadOS, aby można było je łatwo udostępniać wielu pracownikom. Pracownicy mogą zalogować się raz i uzyskać dostęp do swoich danych we wszystkich obsługiwanych aplikacjach bez dostępu do danych innych pracowników. Po zakończeniu zmiany lub zadania wylogują się raz i wylogują się z urządzenia i wszystkich obsługiwanych aplikacji, dzięki czemu urządzenie będzie gotowe do użycia przez następnego pracownika.

Kluczowe korzyści wynikające z włączania trybu urządzenia udostępnionego na urządzeniach

  • Logowanie jednokrotne: umożliwia użytkownikom logowanie się do jednej aplikacji, która obsługuje tryb urządzenia udostępnionego raz i zapewnia bezproblemowe uwierzytelnianie we wszystkich innych aplikacjach, które obsługują tryb urządzenia udostępnionego bez konieczności ponownego wprowadzania poświadczeń. Wykluczenie użytkowników z ekranów środowiska pierwszego uruchomienia na urządzeniach udostępnionych.
  • Wylogowywanie jednokrotne: umożliwia użytkownikom łatwe wylogowanie się z urządzenia bez konieczności wylogowywania się indywidualnie z każdej aplikacji obsługującej tryb urządzenia udostępnionego. Zapewnij użytkownikom, że ich dane nie są niewłaściwie wyświetlane kolejnym użytkownikom, biorąc pod uwagę, że aplikacje zapewniają czyszczenie wszelkich danych użytkownika w pamięci podręcznej i zasad ochrony aplikacji.
  • Obsługa wymuszania wymagań dotyczących zabezpieczeń przy użyciu zasad dostępu warunkowego: zapewnia administratorom możliwość określania konkretnych zasad dostępu warunkowego na urządzeniach udostępnionych, zapewniając pracownikom dostęp do danych firmy tylko wtedy, gdy ich urządzenie udostępnione spełnia wewnętrzne standardy zgodności.

Wprowadzenie do trybu urządzenia udostępnionego

Urządzenia można skonfigurować w trybie urządzenia udostępnionego ręcznie lub za pomocą rozwiązania do zarządzania urządzeniami przenośnymi (MDM) przy użyciu aprowizacji bezobsługowości. Aby dowiedzieć się więcej, zobacz Omówienie trybu urządzenia udostępnionego.

Deweloperzy mogą dodawać obsługę trybu urządzenia udostępnionego do aplikacji przy użyciu biblioteki microsoft authentication Library (MSAL). Aby uzyskać więcej informacji na temat integrowania aplikacji z trybem urządzenia udostępnionego, zobacz:

Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe (MFA) firmy Microsoft dodaje dodatkowe zabezpieczenia tylko przy użyciu hasła, gdy użytkownik się zaloguje. Uwierzytelnianie wieloskładnikowe to doskonały sposób na zwiększenie bezpieczeństwa, chociaż może to zwiększyć tarcie środowiska logowania dla niektórych użytkowników z dodatkową warstwą zabezpieczeń oprócz konieczności zapamiętywania haseł.

Ważne jest, aby przed wdrożeniem zweryfikować środowisko użytkownika, aby przygotować się do działań związanych z zarządzaniem zmianami i gotowością.

Jeśli uwierzytelnianie wieloskładnikowe nie jest możliwe w organizacji, należy zaplanować wdrożenie niezawodnych zasad dostępu warunkowego w celu zmniejszenia ryzyka bezpieczeństwa. Niektóre typowe zasady dostępu warunkowego stosowane, gdy uwierzytelnianie wieloskładnikowe nie jest używane na urządzeniach udostępnionych, to:

  • Zgodność urządzenia
  • Zaufane lokalizacje sieciowe
  • Urządzenie jest zarządzane

Pamiętaj, aby ocenić zasady dostępu warunkowego i zasady ochrony aplikacji, które chcesz zastosować, aby upewnić się, że spełniają one potrzeby organizacji.

Logowanie bez domeny

Środowisko logowania w aplikacji Teams dla systemów iOS i Android można uprościć, wypełniając wstępnie nazwę domeny na ekranie logowania dla użytkowników na urządzeniach udostępnionych i zarządzanych.

Użytkownicy logują się, wprowadzając tylko pierwszą część głównej nazwy użytkownika (UPN). Jeśli na przykład nazwa użytkownika to 123456@contoso.com lub alexw@contoso.com, użytkownicy mogą logować się przy użyciu tylko nazwy "123456" lub "alexw" oraz hasła. Logowanie się do aplikacji Teams jest szybsze i łatwiejsze, szczególnie w przypadku pracowników pierwszej linii na urządzeniach udostępnionych, którzy logują się i regularnie się logują.

Możesz również włączyć logowanie bez domeny dla niestandardowych aplikacji biznesowych.

Dowiedz się więcej na temat logowania bez domeny.

Dostęp warunkowy

Użyj zasad dostępu warunkowego , aby zastosować odpowiednie mechanizmy kontroli w razie potrzeby, aby zapewnić bezpieczeństwo organizacji. Można utworzyć reguły ograniczające dostęp na podstawie sygnałów opartych na tożsamościach, które obejmują:

  • Członkostwo użytkownika lub grupy
  • Informacje o lokalizacji adresu IP
  • Urządzenie (dostępne tylko wtedy, gdy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID)
  • Aplikacja
  • Wykrywanie ryzyka w czasie rzeczywistym i obliczane

Na przykład można użyć zasad dostępu warunkowego, aby ograniczyć dostęp, aby tylko urządzenia udostępnione oznaczone jako zgodne mogły uzyskiwać dostęp do aplikacji i usług organizacji. Oto kilka zasobów ułatwiających rozpoczęcie pracy:

Zasady ochrony aplikacji

Dzięki zarządzaniu aplikacjami mobilnymi (MAM) w usłudze Intune możesz użyć zasad ochrony aplikacji , aby upewnić się, że dane nie wyciekają do aplikacji, które nie obsługują trybu urządzenia udostępnionego. Aby zapobiec utracie danych, włącz następujące zasady ochrony aplikacji na urządzeniach udostępnionych:

  • Wyłącz kopiowanie/wklejanie do aplikacji z obsługą trybu urządzenia nieużytkowanego.
  • Wyłącz zapisywanie plików lokalnych.
  • Wyłącz możliwości transferu danych do aplikacji z obsługą trybu urządzenia nieużytkowanego.

Na udostępnionym urządzeniu ważne jest, aby usunąć niepotrzebne ekrany, które mogą pojawić się, gdy użytkownik uzyskuje dostęp do aplikacji po raz pierwszy. Te ekrany mogą zawierać monity o przyznanie aplikacji uprawnień do korzystania z funkcji urządzenia, takich jak mikrofon lub kamera, lub lokalizacji dostępu. Za pomocą zasad konfiguracji aplikacji w usłudze Intune na urządzeniach udostępnionych z systemem Android można wstępnie skonfigurować uprawnienia aplikacji w celu uzyskania dostępu do funkcji urządzenia.

Jeśli używasz rozwiązania MDM innej firmy, zapoznaj się z dokumentacją, aby uzyskać dostępne opcje umożliwiające automatyczne udzielanie zgody aplikacjom na dostęp do funkcji urządzenia.