Gerenciar dispositivos para trabalhadores de linha de frente
Em todos os setores, os trabalhadores da linha de frente compõem um grande segmento da força de trabalho. As funções do trabalhador de linha de frente incluem associados de varejo, trabalhadores de fábrica, técnicos de campo e de serviço, pessoal de saúde e muito mais.
Visão geral
Como a força de trabalho é em grande parte móvel e muitas vezes baseada em turnos, o gerenciamento dos dispositivos que os funcionários da linha de frente usam é fundamental. Algumas questões a considerar:
- Os funcionários usam dispositivos de propriedade da empresa ou seus próprios dispositivos pessoais?
- Os dispositivos de propriedade da empresa são compartilhados entre os funcionários ou atribuídos a um indivíduo?
- Os trabalhadores levam os dispositivos para casa ou os deixam no local de trabalho?
É importante definir uma linha de base segura e compatível para gerenciar dispositivos para sua força de trabalho, sejam eles dispositivos compartilhados ou dispositivos dos próprios funcionários. Este artigo fornece uma visão geral de cenários comuns de dispositivos de trabalho de linha de frente e recursos de gerenciamento para ajudar a capacitar sua força de trabalho enquanto protege os dados da empresa.
Tipos de dispositivo
Os dispositivos de quiosque compartilhados, de uso próprio e de quiosque são os tipos de dispositivo mais comuns usados pelos trabalhadores da linha de frente.
| Tipo de dispositivo | Descrição | Por que usar | Considerações de implantação |
|---|---|---|---|
| Dispositivos compartilhados | Os dispositivos são de propriedade e gerenciados pela sua organização. Os funcionários acessam dispositivos durante o trabalho. | A produtividade do trabalho e a experiência do cliente são uma prioridade máxima. Os trabalhadores não podem acessar recursos da organização enquanto não estão no trabalho. As leis locais podem impedir que dispositivos pessoais sejam usados para fins comerciais. |
A entrada/saída pode adicionar atrito à experiência do trabalho. Potencial para o compartilhamento inadvertido de dados confidenciais. |
| BYOD (dispositivos bring-your-own) | Os dispositivos pessoais pertencem ao usuário e são gerenciados pela sua organização. | Sua solução MDM (gerenciamento de dispositivo móvel) existente impede que sua organização adote um modelo de dispositivos compartilhados. Dispositivos compartilhados ou dispositivos dedicados podem ser impraticáveis de uma perspectiva de custo ou de preparação para os negócios. |
A complexidade de suporte pode não ser viável em locais de campo. Os dispositivos pessoais variam no sistema operacional, armazenamento e conectividade. Alguns trabalhadores podem não ter acesso confiável a um dispositivo móvel pessoal. Você pode incorrer em responsabilidade potencial por salários se os trabalhadores acessarem recursos enquanto não estiverem marcados. O uso de dispositivos pessoais pode ser contra regras sindicais ou regulamentos governamentais. |
| Dispositivos de quiosque | Os dispositivos são de propriedade e gerenciados pela sua organização. Os usuários não precisam entrar ou sair. | O dispositivo tem uma finalidade dedicada. O caso de uso não requer autenticação do usuário. |
Aplicativos de colaboração, comunicação, tarefa e fluxo de trabalho precisam de uma identidade de usuário para funcionar. Não é possível auditar a atividade do usuário. Não é possível usar alguns recursos de segurança, incluindo autenticação multifator. |
Dispositivos compartilhados e BYOD são comumente adotados em implantações de linha de frente. Você pode usar recursos discutidos nas seções subsequentes deste artigo pode resolve ou atenuar as preocupações da sua organização sobre a experiência do usuário, o acesso não autorizado ao trabalho aos dados e os recursos e a capacidade de implantar e gerenciar dispositivos em escala.
Observação
As implantações de dispositivo de quiosque não são recomendadas porque não permitem a auditoria do usuário e recursos de segurança baseados no usuário, como a autenticação multifator. Saiba mais sobre dispositivos de quiosque.
Dispositivos compartilhados
Muitos funcionários da linha de frente usam dispositivos móveis compartilhados para trabalhar. Dispositivos compartilhados são dispositivos de propriedade da empresa que são compartilhados entre funcionários em tarefas, turnos ou locais.
Aqui está um exemplo de um cenário típico. Uma organização tem um conjunto de dispositivos em bases de carregamento para serem compartilhados entre todos os funcionários. No início de um turno, um funcionário pega um dispositivo do pool e entra no Teams e em outros aplicativos de negócios essenciais para sua função. No final do turno, eles saem e devolvem o dispositivo para o pool. Mesmo dentro do mesmo turno, um trabalhador pode devolver um dispositivo quando terminar uma tarefa ou sair para almoçar e depois pegar um diferente quando voltar.
Dispositivos compartilhados apresentam desafios de segurança únicos. Por exemplo, os funcionários podem ter acesso a dados da empresa ou do cliente que não deveriam estar disponíveis para outras pessoas no mesmo dispositivo.
Dispositivos pessoais (BYOD)
Algumas organizações usam um modelo BYOD (traga seu próprio dispositivo) em que os funcionários da linha de frente usam seus próprios dispositivos móveis para acessar o Teams e outros aplicativos de negócios. Aqui está uma visão geral de algumas maneiras de gerenciar o acesso e a conformidade em dispositivos pessoais.
Sistema operacional do dispositivo
O modelo de implantação selecionado determinará parcialmente os sistemas operacionais de dispositivo que você dá suporte. Por exemplo, se você implementar um modelo BYOD, precisará dar suporte a dispositivos Android e iOS. Se você implementar um modelo de dispositivos compartilhados, o sistema operacional do dispositivo escolhido determinará os recursos disponíveis. Por exemplo, os dispositivos Windows dão suporte nativo à capacidade de armazenar vários perfis de usuário para logon automatizado e autenticação fácil com Windows Hello. Com Android e iOS, mais etapas e pré-requisitos se aplicam.
| Sistema operacional do dispositivo | Considerações |
|---|---|
| Windows | Suporte nativo para armazenar vários perfis de usuário no dispositivo. Dá suporte a Windows Hello para autenticação sem senha. Funcionalidades simplificadas de implantação e gerenciamento quando usadas com Microsoft Intune. |
| Android | Recursos nativos limitados para armazenar vários perfis de usuário em dispositivos. Os dispositivos Android podem ser registrados no modo de dispositivo compartilhado para automatizar o logon único e sair. Gerenciamento robusto de controles e APIs. Ecossistema existente de dispositivos criados para uso de linha de frente. |
| iOS e iPadOS | Os dispositivos iOS podem ser registrados no modo de dispositivo compartilhado para automatizar o logon único e sair. Armazenar vários perfis de usuário em dispositivos iPadOS é possível com o iPad Compartilhado para Empresas. O acesso condicional não está disponível com o iPad Compartilhado para Empresas devido à maneira como a Apple particiona perfis de usuário. |
Em uma implantação de dispositivos compartilhados, a capacidade de armazenar vários perfis de usuário em um dispositivo para simplificar o logon do usuário e a capacidade de limpar dados de aplicativo do usuário anterior (saída única) são requisitos práticos para implantações de linha de frente. Esses recursos são nativos em dispositivos Windows e iPads usando iPad compartilhado para empresas.
Identidade do usuário
Microsoft 365 for frontline workers usa Microsoft Entra ID como o serviço de identidade subjacente para fornecer e proteger todos os aplicativos e recursos. Os usuários devem ter uma identidade que existe no Microsoft Entra ID para acessar aplicativos de nuvem do Microsoft 365.
Se você optar por gerenciar identidades de usuário de linha de frente com Active Directory Domain Services (AD DS) ou um provedor de identidade de terceiros, precisará federar essas identidades para Microsoft Entra ID. Saiba como integrar seu serviço de terceiros ao Microsoft Entra ID.
Os possíveis padrões de implementação para gerenciar identidades de linha de frente incluem:
- Microsoft Entra autônomo: sua organização cria e gerencia identidades de usuário, dispositivo e aplicativo em Microsoft Entra ID como uma solução de identidade autônoma para suas cargas de trabalho de linha de frente. Esse padrão de implementação é recomendado, pois simplifica sua arquitetura de implantação de linha de frente e maximiza o desempenho durante o logon do usuário.
- integração do AD DS (Active Directory Domain Services) com Microsoft Entra ID: a Microsoft fornece Microsoft Entra Conectar para ingressar nesses dois ambientes. Microsoft Entra Connect replica contas de usuário do AD para Microsoft Entra ID, permitindo que um usuário tenha uma única identidade capaz de acessar recursos locais e baseados em nuvem. Embora o AD DS e Microsoft Entra ID possam existir como ambientes de diretório independentes, você pode optar por criar diretórios híbridos.
- Sincronização da solução de identidade de terceiros com Microsoft Entra ID: Microsoft Entra ID dá suporte à integração com provedores de identidade de terceiros, como Okta e Ping Identity por meio da federação. Saiba mais sobre como usar provedores de identidade de terceiros.
Provisionamento de usuário controlado por RH
Automatizar o provisionamento de usuários é uma necessidade prática para que as organizações que desejam que os funcionários da linha de frente possam acessar aplicativos e recursos no primeiro dia. Do ponto de vista de segurança, também é importante automatizar a desprovisionamento durante a integração de funcionários para garantir que os funcionários anteriores não mantenham o acesso aos recursos da empresa.
Microsoft Entra serviço de provisionamento de usuário se integra a aplicativos de RH locais e baseados em nuvem, como Workday e SAP SuccessFactors. Você pode configurar o serviço para automatizar o provisionamento e a desprovisionamento do usuário quando um funcionário é criado ou desabilitado no sistema de RH.
Minha Equipe
Com o recurso Minha Equipe em Microsoft Entra ID, você pode delegar tarefas comuns de gerenciamento de usuário para gerentes de linha de frente por meio do portal Minha Equipe. Os gerentes da linha de frente podem realizar redefinições de senha ou gerenciar números de telefone para funcionários da linha de frente diretamente da loja ou do chão de fábrica, sem precisar encaminhar as solicitações para o suporte técnico, operações ou TI.
Minha Equipe também permite que os gerentes da linha de frente registrem os números de telefone dos membros de sua equipe para entrada por SMS. Se a autenticação baseada em SMS estiver habilitada em sua organização, os funcionários da linha de frente poderão entrar no Teams e em outros aplicativos usando apenas seus números de telefone e uma senha de uso único enviada por SMS. Isso torna a entrada dos funcionários da linha de frente simples, seguro e rápido.
Gerenciamento de dispositivo móvel
Soluções de MDM (gerenciamento de dispositivo móvel) podem simplificar a implantação, o gerenciamento e o monitoramento de dispositivos. Microsoft Intune dá suporte nativo a recursos importantes para implantar dispositivos compartilhados em trabalhadores de linha de frente. Esses recursos incluem:
- Provisionamento de toque zero: Os administradores de TI podem registrar e pré-configurar dispositivos móveis sem a custódia física dos dispositivos (para configuração manual). Essa funcionalidade é útil ao implantar dispositivos compartilhados em escala para locais de campo porque os dispositivos podem ser enviados diretamente para o local de linha de frente pretendido, onde as etapas de configuração e provisionamento automatizados podem ser concluídas remotamente.
- Logon único: Interrompe processos em segundo plano e automatiza a saída do usuário em todos os aplicativos e recursos atribuídos ao usuário anterior quando um novo usuário entra. Dispositivos Android e iOS devem estar registrados no modo de dispositivo compartilhado para usar a saída única.
- Microsoft Entra Acesso Condicional: os administradores de TI podem implementar decisões automatizadas de controle de acesso para aplicativos e recursos baseados em nuvem por meio de sinais controlados por identidade. Por exemplo, é possível impedir o acesso por um dispositivo compartilhado ou BYOD que não tenha as atualizações de segurança mais recentes instaladas. Saiba mais sobre como proteger sua implantação.
Se você estiver usando uma solução MDM de terceiros para a implantação de dispositivos compartilhados, como o Workspace ONE do VMware ou o SOTI MobiControl, é importante entender os recursos associados, as limitações e as soluções alternativas disponíveis.
Alguns MDMs de terceiros podem limpar dados do aplicativo quando uma saída global ocorre em um dispositivo Android. No entanto, a limpeza de dados do aplicativo pode perder dados armazenados em um local compartilhado, excluir configurações do aplicativo ou fazer com que experiências de primeira execução reapareçam. Os dispositivos Android registrados no modo de dispositivo compartilhado podem limpar seletivamente os dados necessários do aplicativo durante o marcar do dispositivo ou quando o novo usuário faz logon no dispositivo. Saiba mais sobre a autenticação no modo de dispositivo compartilhado.
Você pode configurar manualmente o modo de dispositivo compartilhado em soluções de MDM de terceiros para dispositivos iOS e Android, no entanto, as etapas de configuração manuais não marcam o dispositivo em conformidade com Microsoft Entra ID, o que significa que o acesso condicional não tem suporte nesse cenário. Se você optar por configurar dispositivos manualmente no modo de dispositivo compartilhado, precisará tomar medidas adicionais para recadastrar dispositivos Android no modo de dispositivo compartilhado com provisionamento de toque zero para obter suporte de acesso condicional quando o suporte de MDM de terceiros estiver disponível desinstalando e reinstalando o Authenticator do dispositivo.
Um dispositivo só pode ser registrado em uma solução MDM, mas você pode usar várias soluções MDM para gerenciar pools separados de dispositivos. Por exemplo, você pode usar o Workspace ONE para dispositivos compartilhados e o Intune para BYOD. Se você usar várias soluções de MDM, tenha em mente que alguns usuários podem não ser capazes de acessar dispositivos compartilhados devido a uma incompatibilidade nas políticas de acesso condicional.
| Solução MDM | Saída única | Provisionamento de toque zero | acesso condicional Microsoft Entra |
|---|---|---|---|
| Intune (Microsoft) | Com suporte para dispositivos Android e iOS registrados no modo de dispositivo compartilhado | Com suporte para dispositivos Android e iOS registrados no modo de dispositivo compartilhado | Com suporte para dispositivos Android e iOS registrados no modo de dispositivo compartilhado |
| Workspace ONE (VMware) | Com suporte para limpar recursos de dados de aplicativo Android . Indisponível para iOS | Atualmente indisponível para Android e iOS. | Atualmente indisponível para Android e iOS. |
| MobiControl (SOTI) | Com suporte com recursos de dados do programa Wipe . Indisponível para iOS. | Atualmente indisponível para Android e iOS. | Atualmente indisponível para Android e iOS. |
Os dispositivos Windows registrados no Intune dão suporte a saída única, provisionamento de toque zero e acesso condicional Microsoft Entra. Você não precisa configurar o modo de dispositivo compartilhado em dispositivos Windows.
O Intune é recomendado para cenários BYOD porque fornece o melhor suporte e funcionalidade fora da caixa entre os tipos de dispositivo.
Inscrever dispositivos pessoais Android e iOS
Além dos dispositivos da empresa, você pode inscrever os dispositivos pessoais dos usuários no gerenciamento do Intune. Para registro BYOD, você adiciona usuários de dispositivo no centro de administração Microsoft Intune, configura sua experiência de registro e configura as políticas do Intune. Os usuários concluem o registro no Portal da Empresa do Intune aplicativo que está instalado em seus dispositivos.
Em alguns casos, os usuários podem relutar em registrar seus dispositivos pessoais no gerenciamento. Se o registro do dispositivo não for uma opção, você pode escolher uma abordagem de gerenciamento de aplicativos móveis (MAM) e usar as políticas de proteção de aplicativos para gerenciar aplicativos que contêm dados corporativos. Por exemplo, você pode aplicar políticas de proteção de aplicativos aos aplicativos móveis do Teams e do Office para impedir que os dados da empresa sejam copiados para aplicativos pessoais no dispositivo.
Para saber mais, consulte "Dispositivos pessoais versus dispositivos de propriedade da organização" no guia de planejamento do Intune e Diretrizes de implantação: registrar dispositivos no Microsoft Intune.
Autenticação
Os recursos de autenticação controlam quem ou o que usa uma conta para obter acesso a aplicativos, dados e recursos. As organizações que implantam dispositivos compartilhados em trabalhadores de linha de frente precisam de controles de autenticação que não impedem a produtividade do trabalho, impedindo o acesso não autorizado ou não intencional a aplicativos e dados quando os dispositivos são transferidos entre usuários autenticados.
A solução de linha de frente da Microsoft é entregue na nuvem e utiliza Microsoft Entra ID como o serviço de identidade subjacente para proteger aplicativos e recursos do Microsoft 365. Esses recursos de autenticação no Microsoft Entra ID abordam as considerações exclusivas para implantações de dispositivos compartilhados: logon único automático, logon único e outros métodos de autenticação forte.
Modo de dispositivo compartilhado
O modo de dispositivo compartilhado é um recurso de Microsoft Entra ID que permite configurar dispositivos a serem compartilhados pelos funcionários. Esse recurso permite o logon único (SSO) e a saída em todo o dispositivo para o Microsoft Teams e todos os outros aplicativos que dão suporte ao modo de dispositivo compartilhado. Você pode integrar essa funcionalidade em seus aplicativos de linha de negócios (LOB) usando a MSAL (Biblioteca de Autenticação da Microsoft). Depois que um dispositivo está no modo de dispositivo compartilhado, os aplicativos que aproveitam a MSAL (Biblioteca de Autenticação da Microsoft) podem detectar que estão sendo executados em um dispositivo compartilhado e determinar quem é o usuário ativo atual. Com essas informações, os aplicativos podem realizar esses controles de autenticação:
- Logon único automático: Se um usuário já tiver entrado em outro aplicativo MSAL, o usuário será conectado a qualquer aplicativo compatível com o Modo de Dispositivo Compartilhado. Isso é uma melhoria para a experiência de logon único anterior, pois reduz ainda mais o tempo necessário para acessar aplicativos depois de entrar no primeiro aplicativo, removendo a necessidade de um usuário selecionar uma conta de entrada anterior.
- Logon único: Depois que um usuário sai de um aplicativo usando o MSAL, todos os outros aplicativos integrados ao modo de dispositivo compartilhado podem interromper processos em segundo plano e iniciar processos de compensação de dados para impedir o acesso não autorizado ou não intencional pelo próximo usuário.
Veja como funciona o modo de dispositivo compartilhado, usando o Teams como exemplo. Quando um funcionário entra no Teams no início do turno, ele entra automaticamente em todos os outros aplicativos que dão suporte ao modo de dispositivo compartilhado no dispositivo. No final do turno, quando eles saem do Teams, eles são desconectados globalmente de todos os outros aplicativos que dão suporte ao modo de dispositivo compartilhado. Após a saída, os dados do funcionário e os dados da empresa no Teams (incluindo aplicativos hospedados nele) e em todos os outros aplicativos que dão suporte ao modo de dispositivo compartilhado não podem mais ser acessados. O dispositivo está pronto para o próximo funcionário e pode ser entregue com segurança.
O modo de dispositivo compartilhado é uma melhoria para a funcionalidade de limpeza de dados do aplicativo para Android, pois permite que os desenvolvedores de aplicativos limpem seletivamente dados pessoais do usuário sem afetar as configurações do aplicativo ou os dados armazenados em cache. Com o modo de dispositivo compartilhado, os sinalizadores que permitem que um aplicativo lembre se uma experiência de primeira execução é mostrada não são excluídos para que os usuários não vejam uma experiência de primeira execução toda vez que entrarem.
O modo de dispositivo compartilhado também permite que um dispositivo seja registrado em Microsoft Entra ID uma vez para todos os usuários para que você possa criar facilmente perfis que protejam o uso de aplicativos e dados no dispositivo compartilhado. Isso permite que você dê suporte ao acesso condicional sem precisar registrar novamente o dispositivo sempre que um novo usuário se autentica no dispositivo.
Você usa uma solução MDM (gerenciamento de dispositivo móvel), como Microsoft Intune ou Microsoft Configuration Manager para preparar um dispositivo a ser compartilhado instalando o aplicativo Microsoft Authenticator e ativando o modo compartilhado. O Teams e todos os outros aplicativos compatíveis com o modo de dispositivo compartilhado usam a configuração do modo compartilhado para gerenciar usuários no dispositivo. A solução de MDM que você usa também deve realizar uma limpeza do dispositivo quando ocorrer a saída.
Observação
O modo de dispositivo compartilhado não é uma solução completa de prevenção contra perda de dados. O modo de dispositivo compartilhado deve ser usado em conjunto com políticas do MAM (Microsoft Application Manager) para garantir que os dados não vazem para áreas do dispositivo que não estão aproveitando o modo de dispositivo compartilhado (por exemplo, armazenamento de arquivos local).
Pré-requisitos e considerações
Você precisará atender aos seguintes pré-requisitos para usar o modo de dispositivo compartilhado.
- Primeiro, o dispositivo deve ter o Microsoft Authenticator instalado.
- O dispositivo deve ser registrado no modo de dispositivo compartilhado.
- Todos os aplicativos que precisam desses benefícios precisam se integrar às APIs de modo de dispositivo compartilhado no MSAL.
As políticas de MAM são necessárias para impedir que os dados sejam movidos de aplicativos habilitados para o modo de dispositivo compartilhado para aplicativos habilitados para o modo de dispositivo não compartilhado.
Atualmente, o provisionamento de toque zero do modo de dispositivo compartilhado só está disponível com o Intune. Se você estiver usando uma solução MDM de terceiros, os dispositivos devem ser registrados no modo de dispositivo compartilhado usando as etapas de configuração manual.
Observação
O acesso condicional não tem suporte total para dispositivos configurados manualmente.
Alguns aplicativos do Microsoft 365 atualmente não dão suporte ao modo de dispositivo compartilhado. A tabela a seguir resume o que está disponível. Se o aplicativo de necessidade não tiver integração do modo de dispositivo compartilhado, é recomendável executar uma versão baseada na Web do seu aplicativo no Microsoft Teams ou no Microsoft Edge para obter os benefícios do modo de dispositivo compartilhado.
O modo de dispositivo compartilhado é atualmente compatível com dispositivos Android. Veja alguns recursos para ajudar você a começar.
Registrar dispositivos Android no modo de dispositivo compartilhado
Para gerenciar e registrar dispositivos Android no modo de dispositivo compartilhado usando o Intune, os dispositivos devem estar executando o sistema operacional Android versão 8.0 ou posterior e ter conectividade do Google Mobile Services (GMS). Para saber mais, confira:
- Configurar o registro do Intune para dispositivos dedicados Android Enterprise
- Registrar dispositivos dedicados do Android Enterprise no modo de dispositivo compartilhado Microsoft Entra
Você também pode optar por implantar o aplicativo Tela Inicial Gerenciada da Microsoft para adaptar a experiência para os usuários em seus dispositivos Android dedicados registrados no Intune. A Tela Inicial Gerenciada funciona como um iniciador para que outros aplicativos aprovados sejam executados em cima dela e permite que você personalize dispositivos e restrinja o que os funcionários podem acessar. Por exemplo, você pode definir como os aplicativos aparecem na tela inicial, adicionar o logotipo da sua empresa, definir um papel de parede personalizado e permitir que os funcionários definam um PIN de sessão. Você pode até configurar a saída para acontecer automaticamente após um período especificado de inatividade. Para saber mais, confira:
- Configurar o aplicativo Tela Inicial Gerenciada da Microsoft para Android Enterprise
- Como configurar a Tela Inicial Gerenciada da Microsoft em dispositivos dedicados no modo de quiosque de vários aplicativos
Para desenvolvedores que criam aplicativos para o modo de dispositivo compartilhado
Se você for um desenvolvedor, consulte os seguintes recursos para obter mais informações sobre como integrar seu aplicativo ao modo de dispositivo compartilhado:
- Modo de dispositivo compartilhado para dispositivos Android
- Modo de dispositivo compartilhado para dispositivos iOS
Autenticação de vários fatores
Microsoft Entra ID dá suporte a várias formas de autenticação multifator com o aplicativo Authenticator, chaves FIDO2, SMS, chamadas de voz e muito mais.
Devido a maiores custos e restrições legais, os métodos de autenticação mais seguros podem não ser práticos para muitas organizações. Por exemplo, as chaves de segurança FIDO2 normalmente são consideradas muito caras, ferramentas biométricas como Windows Hello podem ser executadas contra regulamentos ou regras sindicais existentes, e a entrada de SMS pode não ser possível se os trabalhadores da linha de frente não tiverem permissão para trazer seus dispositivos pessoais para o trabalho.
A autenticação multifator fornece um alto nível de segurança para aplicativos e dados, mas adiciona atrito contínuo ao logon do usuário. Para organizações que escolhem implantações BYOD, a autenticação multifator pode ou não ser uma opção prática. É altamente recomendável que as equipes técnicas e empresariais validem a experiência do usuário com autenticação multifator antes da ampla distribuição para que o impacto do usuário possa ser considerado corretamente nos esforços de gerenciamento e preparação de alterações.
Se a autenticação multifator não for viável para sua organização ou modelo de implantação, você deverá planejar aproveitar políticas de acesso condicional robustas para reduzir o risco de segurança.
Autenticação sem senha
Para simplificar ainda mais o acesso à sua força de trabalho de linha de frente, você pode aproveitar métodos de autenticação sem senha para que os trabalhadores não precisem lembrar ou digitar suas senhas. Métodos de autenticação sem senha também normalmente são mais seguros, e muitos podem atender aos requisitos de MFA, se necessário.
Antes de prosseguir com um método de autenticação sem senha, você precisará determinar se ele pode funcionar em seu ambiente existente. Considerações como custo, suporte ao sistema operacional, requisitos de dispositivo pessoal e suporte a MFA podem afetar se um método de autenticação funcionaria para suas necessidades. Por exemplo, as chaves de segurança FIDO2 são atualmente consideradas muito caras, e a entrada de SMS e Autenticador pode não ser possível se os trabalhadores da linha de frente não tiverem permissão para trazer seus dispositivos pessoais para funcionar.
Consulte a tabela para avaliar métodos de autenticação sem senha para o cenário de linha de frente.
| Método | Suporte ao sistema operacional | Requer dispositivo pessoal | Dá suporte à autenticação multifator |
|---|---|---|---|
| Entrada sms | Android e iOS | Sim | Não |
| Windows Hello | Windows | Não | Sim |
| Microsoft Authenticator | Todos | Sim | Sim |
| Chave FIDO2 | Windows | Não | Sim |
Se você estiver implantando com dispositivos compartilhados e as opções anteriores sem senha não forem viáveis, você poderá optar por desabilitar requisitos fortes de senha para que os usuários possam fornecer senhas mais simples ao fazer logon em dispositivos gerenciados. Se você optar por desabilitar requisitos fortes de senha, considere adicionar essas estratégias ao seu plano de implementação.
- Desabilite apenas requisitos de senha fortes para usuários de dispositivos compartilhados.
- Crie uma política de acesso condicional que impeça esses usuários de fazer logon em dispositivos não compartilhados em redes não confiáveis.
Authorization
Os recursos de autorização controlam o que um usuário autenticado pode fazer ou acessar. No Microsoft 365, isso é obtido por meio de uma combinação de políticas de acesso condicional Microsoft Entra e políticas de proteção de aplicativos.
Implementar controles de autorização robustos é um componente crítico para proteger uma implantação de dispositivos compartilhados de linha de frente, especialmente se não for possível implementar métodos de autenticação fortes, como a MFA (autenticação multifator) por razões de custo ou praticidade.
acesso condicional Microsoft Entra
Com acesso condicional, você pode criar regras que limitam o acesso com base nos seguintes sinais:
- Associação de usuários ou grupos
- Informações de localização de IP
- Dispositivo (disponível somente se o dispositivo estiver registrado em Microsoft Entra ID)
- Application
- Detecção de risco calculada e em tempo real
As políticas de acesso condicional podem ser usadas para bloquear o acesso quando um usuário está em um dispositivo não compatível ou enquanto estiver em uma rede não confiável. Por exemplo, você pode querer usar o acesso condicional para impedir que os usuários acessem um aplicativo de inventário quando eles não estiverem na rede de trabalho ou estiverem usando um dispositivo não gerenciado, dependendo da análise da sua organização das leis aplicáveis.
Para cenários BYOD em que faz sentido acessar dados fora do trabalho, como informações relacionadas ao RH ou aplicativos não relacionados a negócios, você pode optar por implementar políticas de acesso condicional mais permissivas, juntamente com métodos de autenticação fortes, como autenticação multifator.
Há suporte para acesso condicional para:
- Dispositivos Windows compartilhados gerenciados no Intune.
- Dispositivos Android e iOS compartilhados registrados no modo de dispositivo compartilhado com provisionamento de toque zero.
- BYOD para Windows, Android e iOS gerenciados com soluções de MDM do Intune ou de terceiros.
Não há suporte para acesso condicional para:
- Dispositivos configurados manualmente com o modo de dispositivo compartilhado, incluindo dispositivos Android e iOS gerenciados com soluções MDM de terceiros.
- Dispositivos iPad que usam iPad compartilhado para empresas.
Observação
O acesso condicional para dispositivos Android gerenciados com soluções MDM de terceiros selecionadas está chegando em breve.
Para obter mais informações sobre o acesso condicional, consulte a documentação Microsoft Entra Acesso Condicional.
Políticas de proteção de aplicativos
Com o MAM do Intune, você pode usar as políticas de proteção de aplicativo (APP) com aplicativos integrados ao SDK de APLICATIVO do Intune. Isso permite que você proteja ainda mais os dados da sua organização em um aplicativo.
Com políticas de proteção de aplicativo, você pode adicionar proteções de controle de acesso, como:
- Exigir um PIN para abrir um aplicativo em um contexto de trabalho.
- Controlar o compartilhamento de dados entre aplicativos
- Impedir a gravação de dados de aplicativos da empresa em um local de armazenamento pessoal
- Verifique se o sistema operacional do dispositivo está atualizado
Você também pode usar APPs para garantir que os dados não vazem para aplicativos que não dão suporte ao modo de dispositivo compartilhado. Para evitar a perda de dados, as seguintes APPs devem ser habilitadas em dispositivos compartilhados:
- Desabilitar a cópia/colar para aplicativos habilitados para modo de dispositivo não compartilhado.
- Desabilite o salvamento de arquivos local.
- Desabilitar recursos de transferência de dados para aplicativos habilitados para modo de dispositivo não compartilhado.
As APPs são úteis em cenários BYOD porque permitem que você proteja seus dados no nível do aplicativo sem precisar gerenciar todo o dispositivo. Isso é importante em cenários em que os funcionários podem ter um dispositivo gerenciado por outro locatário (por exemplo, uma universidade ou outro empregador) e não podem ser gerenciados por outra empresa.
Gerenciamento de aplicativo
Seu plano de implantação deve incluir um inventário e uma avaliação dos aplicativos que os trabalhadores da linha de frente precisarão fazer seus trabalhos. Esta seção aborda as considerações e as etapas necessárias para garantir que os usuários tenham acesso aos aplicativos necessários e que a experiência seja otimizada no contexto da implementação da linha de frente.
Para fins dessa avaliação, os aplicativos são categorizados em três grupos:
- Os aplicativos da Microsoft são criados e compatíveis com a Microsoft. Os aplicativos da Microsoft dão suporte Microsoft Entra ID e integram-se ao SDK de APLICATIVO do Intune. No entanto, nem todos os aplicativos da Microsoft têm suporte com o modo de dispositivo compartilhado. [Confira uma lista de aplicativos com suporte e disponibilidade.] (indicador de autenticação)
- Aplicativos de terceiros são criados e vendidos comercialmente por um provedor de terceiros. Alguns aplicativos não dão suporte a Microsoft Entra ID, SDK de APLICATIVO do Intune ou modo de dispositivo compartilhado. Trabalhe com o provedor de aplicativos e sua equipe de conta da Microsoft para confirmar qual será a experiência do usuário.
- Aplicativos de linha de negócios personalizados são desenvolvidos pela sua organização para atender às necessidades de negócios internas. Se você criar aplicativos usando o Power Apps, seu aplicativo será habilitado automaticamente com Microsoft Entra ID, Intune e modo de dispositivo compartilhado.
Os aplicativos que os usuários da linha de frente acessam atendem a esses requisitos (conforme aplicável) para que o logon único e único global seja habilitado.
- Integrar aplicativos personalizados e de terceiros ao MSAL: Os usuários podem se autenticar em seus aplicativos usando Microsoft Entra ID, habilitar o SSO e políticas de acesso condicional podem ser aplicadas.
- Integrar aplicativos ao modo de dispositivo compartilhado (aplica-se apenas a dispositivos compartilhados Android ou iOS): Os aplicativos podem usar as APIs de modo de dispositivo compartilhado necessárias no MSAL para executar logon único automático e logon único. Usar adequadamente essas APIs permite que você se integre ao modo de dispositivo compartilhado. Isso não é necessário se você estiver executando seu aplicativo no Teams, Microsoft Edge ou PowerApps.
- Integre-se ao SDK de APLICATIVO do Intune (aplica-se apenas a dispositivos compartilhados Android ou iOS): Os aplicativos podem ser gerenciados no Intune para evitar exposição de dados não intencional ou não autorizada. Isso não será necessário se o MDM executar os dados do aplicativo que apagam os dados confidenciais durante os fluxos de marcar do dispositivo (saída única).
Depois de validar com êxito seus aplicativos, você pode implantá-los em dispositivos gerenciados usando sua solução MDM. Isso permite que você pré-instale todos os aplicativos necessários durante o registro do dispositivo para que os usuários tenham tudo o que precisam no primeiro dia.
Inicializadores de aplicativos para dispositivos Android
Em dispositivos Android, a melhor maneira de fornecer uma experiência focada assim que um funcionário abre um dispositivo é fornecer uma tela de inicialização personalizada. Com uma tela de inicialização personalizada, você pode mostrar apenas os aplicativos relevantes que um funcionário precisa usar e widgets que realçam as principais informações.
A maioria das soluções MDM fornece seu próprio inicializador de aplicativo que pode ser usado. Por exemplo, a Microsoft fornece Tela Inicial Gerenciada. Se você quiser criar seu próprio inicializador de aplicativo personalizado para dispositivos compartilhados, precisará integrá-lo ao modo de dispositivo compartilhado para que o logon único e o logon único funcionem em seus dispositivos. A tabela a seguir destaca alguns dos inicializadores de aplicativos mais comuns disponíveis hoje pela Microsoft e desenvolvedores de terceiros.
| Inicializador de aplicativos | Recursos |
|---|---|
| Tela Inicial Gerenciada | Use Tela Inicial Gerenciada quando quiser que seus usuários finais tenham acesso a um conjunto específico de aplicativos em seus dispositivos dedicados registrados no Intune. Como Tela Inicial Gerenciada pode ser iniciado automaticamente como a tela inicial padrão no dispositivo e aparece para o usuário final como a única tela inicial, ele é útil em cenários de dispositivos compartilhados quando uma experiência bloqueada é necessária. |
| Microsoft Launcher | O Microsoft Launcher permite que os usuários personalizem seu telefone, permaneçam organizados em movimento e transfiram o trabalho do telefone para o computador. O Microsoft Launcher difere do Tela Inicial Gerenciada porque permite ao usuário final acesso à tela inicial padrão. Portanto, o Microsoft Launcher é útil em cenários BYOD. |
| Inicializador ONE do Workspace do VMware | Para clientes que usam o VMware, o Workspace ONE Launcher é a melhor ferramenta para fazer a curadoria de um conjunto de aplicativos aos quais sua força de trabalho de linha de frente precisa de acesso. A opção de saída deste inicializador também é o que permite o Android App Data Clear para logon único em dispositivos VMware. No momento, o VMware Workspace ONE Launcher não dá suporte ao modo de dispositivo compartilhado. |
| Inicializador de aplicativo personalizado | Se você quiser uma experiência totalmente personalizada, poderá criar seu próprio inicializador de aplicativos personalizado. Você pode integrar o inicializador ao modo de dispositivo compartilhado para que os usuários só precisem entrar e sair uma vez. |
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de