Descrição geral da gestão de dispositivos para trabalhadores de primeira linha
Descrição geral
Em todos os setores, os trabalhadores de primeira linha constituem um grande segmento da força de trabalho. As funções de trabalhador de primeira linha incluem associados de retalho, trabalhadores de fábrica, técnicos de campo e serviços, pessoal de saúde e muito mais.
Uma vez que a força de trabalho é em grande parte móvel e muitas vezes baseada em turnos, a gestão dos dispositivos que os trabalhadores de primeira linha utilizam é uma chave fundamental. Algumas perguntas a considerar:
- Os trabalhadores utilizam dispositivos pertencentes à empresa ou os seus próprios dispositivos pessoais?
- Os dispositivos pertencentes à empresa são partilhados entre trabalhadores ou atribuídos a um indivíduo?
- Os trabalhadores levam os dispositivos para casa ou deixam-nos no local de trabalho?
É importante definir uma linha de base segura e compatível para gerir dispositivos para a sua força de trabalho, quer sejam dispositivos partilhados ou dispositivos próprios dos trabalhadores.
Este artigo fornece-lhe uma descrição geral dos cenários comuns de dispositivos de trabalho de primeira linha e capacidades de gestão para ajudar a capacitar a sua força de trabalho enquanto salvaguarda os dados da empresa. Utilize as informações e considerações para ajudar a planear a implementação do seu dispositivo de primeira linha.
Implementação de dispositivos
Um passo fundamental no planeamento é determinar como irá implementar dispositivos móveis na sua linha da frente e nos sistemas operativos a suportar. Tome estas decisões antecipadamente para que possa avaliar a viabilidade do plano de implementação e da infraestrutura de TI com estes fatores em mente.
Modelos de implementação
Os dispositivos partilhados e o BYOD (Bring Your Own Device) são os tipos de dispositivos mais frequentemente adotados utilizados em organizações de primeira linha. A tabela seguinte lista estes modelos de implementação, juntamente com outros, e considerações relacionadas.
Tipo de dispositivo | Descrição | Porquê utilizar | Considerações de implementação |
---|---|---|---|
Dispositivos partilhados | Dispositivos pertencentes e geridos pela sua organização. Os funcionários acedem a dispositivos enquanto trabalham. |
A produtividade dos trabalhadores e a experiência do cliente são uma prioridade máxima. Os trabalhadores não podem aceder a recursos organizacionais quando não estão no trabalho. As leis locais podem impedir que os dispositivos pessoais sejam utilizados para fins empresariais. |
Defina como o início de sessão e a saída da linha da frente do dispositivo. Considere utilizar Microsoft Entra políticas de Acesso Condicional para proteger dispositivos partilhados quando a autenticação multifator (MFA) não é uma opção. |
Bring-your-own device (BYOD) | Dispositivos pessoais pertencentes ao utilizador e geridos pela sua organização. | Quer dar aos funcionários uma forma conveniente de verificar os horários dos turnos, conversar com colegas sobre trocas de turnos ou aceder a recursos de RH, como o paystub. Os dispositivos partilhados ou os dispositivos dedicados podem não ser práticos do ponto de vista dos custos ou da preparação para a empresa. |
Os dispositivos pessoais variam consoante o sistema operativo, o armazenamento e a conectividade. A utilização de dispositivos pessoais pode ser contra regras sindicais ou regulamentos governamentais. Alguns trabalhadores podem não ter acesso fiável a um dispositivo móvel pessoal. |
Dispositivos dedicados1 | Dispositivos pertencentes e geridos pela sua organização e emitidos para um único utilizador. | A função de trabalho necessita de um número de telefone dedicado para receber chamadas e mensagens SMS. A organização requer controlo total sobre o dispositivo e a forma como os funcionários o utilizam. |
Custo do hardware dedicado. O esforço adicionado para a complexidade da implementação e do suporte pode não ser viável em localizações de campo. |
Dispositivos de quiosque2 | Dispositivos pertencentes e geridos pela sua organização. Os utilizadores não precisam de iniciar ou terminar sessão. | O dispositivo tem um objetivo dedicado. O caso de utilização não requer autenticação de utilizador. |
As aplicações de colaboração, comunicação, tarefa e fluxo de trabalho precisam de uma identidade de utilizador para funcionar. Não é possível auditar a atividade do utilizador. Não é possível utilizar algumas capacidades de segurança, incluindo a MFA. |
1Os dispositivos dedicados são incomuns em implementações de primeira linha, principalmente devido ao elevado custo e esforço para gerir no contexto de um elevado volume de negócios de pessoal.
2As implementações de dispositivos de quiosque não são recomendadas porque não permitem capacidades de segurança baseadas no utilizador e de auditoria do utilizador, como a autenticação multifator.
Saiba mais sobre dispositivos de quiosque.
Neste artigo, focamo-nos em dispositivos partilhados e BYOD, uma vez que estes são os modelos de implementação que se adequam às necessidades práticas da maioria das implementações de primeira linha. Continue a ler para obter uma descrição geral das considerações de planeamento e das capacidades de gestão.
Sistema operativo do dispositivo
O modelo de implementação que escolher determina parcialmente os sistemas operativos do dispositivo que suporta. Por exemplo:
- Se implementar um modelo de dispositivos partilhados, o sistema operativo do dispositivo que escolher determina as capacidades disponíveis. Por exemplo, os dispositivos Windows suportam nativamente a capacidade de armazenar múltiplos perfis de utilizador para início de sessão automatizado e autenticação fácil com Windows Hello. Com o Android e iOS, aplicam-se mais passos e pré-requisitos.
- Se implementar um modelo BYOD, terá de suportar dispositivos Android e iOS.
SO do Dispositivo | Considerações |
---|---|
Android |
Capacidades nativas limitadas para armazenar múltiplos perfis de utilizador em dispositivos. Os dispositivos Android podem ser inscritos no modo de dispositivo partilhado para automatizar o início de sessão único e terminar sessão e filtrar as políticas de Acesso Condicional. Gestão robusta de controlos e APIs. Ecossistema existente de dispositivos criados para utilização de primeira linha. |
iOS e iPadOS | Os dispositivos iOS podem ser inscritos no modo de dispositivo partilhado para automatizar o início de sessão único e terminar sessão. É possível armazenar múltiplos perfis de utilizador em dispositivos iPadOS com o iPad para Empresas partilhado. |
Windows | Suporte nativo para armazenar múltiplos perfis de utilizador no dispositivo. Suporta Windows Hello para autenticação sem palavra-passe. Capacidades de implementação e gestão simplificadas quando utilizadas com Microsoft Intune. |
Horizontal do dispositivo
Quando estiver a planear a implementação do dispositivo, existem considerações em várias áreas da superfície. Esta secção descreve a paisagem e os termos a conhecer.
Gestão de dispositivos móveis
As soluções de gestão de dispositivos móveis (MDM), como Microsoft Intune, simplificam a implementação, a gestão e a monitorização de dispositivos.
Um dispositivo só pode ser inscrito numa solução mdm, mas pode utilizar várias soluções mdm para gerir conjuntos separados de dispositivos. Por exemplo, pode utilizar o VMware Workspace ONE ou o SOTI MobiControl para dispositivos partilhados e Intune para BYOD. Se utilizar várias soluções mdm, tenha em atenção que alguns utilizadores poderão não conseguir aceder a dispositivos partilhados devido a um erro de correspondência nas políticas de Acesso Condicional ou nas políticas de gestão de aplicações móveis (MAM).
Se estiver a utilizar uma solução de MDM de terceiros, pode integrar com Intune conformidade de parceiros para tirar partido do Acesso Condicional para dispositivos geridos por soluções mdm de terceiros.
Iniciadores de aplicações para dispositivos Android
Um iniciador de aplicações é uma aplicação que lhe permite proporcionar uma experiência focada para a sua linha de frente com um ecrã de iniciação personalizado, como aplicações, padrões de fundo e posições de ícones. Só pode mostrar as aplicações relevantes que os seus trabalhadores de primeira linha precisam de utilizar e widgets que realçam informações importantes.
A maioria das soluções MDM fornece o seu próprio iniciador de aplicações. Por exemplo, Microsoft Intune fornece a aplicação Microsoft Managed Home Screen. Também pode criar o seu próprio iniciador personalizado.
A tabela seguinte lista alguns dos iniciadores de aplicações mais comuns disponíveis atualmente para dispositivos Android pela Microsoft e programadores de terceiros.
Iniciador de aplicações | Capacidades |
---|---|
Microsoft Managed Home Screen | Utilize Managed Home Screen quando quiser que os seus utilizadores tenham acesso a um conjunto específico de aplicações nos seus dispositivos dedicados inscritos Intune. Uma vez que Managed Home Screen podem ser iniciados automaticamente como o ecrã principal predefinido no dispositivo e apresentado ao utilizador como o único ecrã principal, é útil em cenários de dispositivos partilhados quando é necessária uma experiência bloqueada. Saiba mais. |
Iniciador ONE da Área de Trabalho do VMware | Se estiver a utilizar o VMware, o Iniciador da Área de Trabalho ONE é uma ferramenta para organizar um conjunto de aplicações a que a sua linha de frente precisa de aceder. O Iniciador ONE da Área de Trabalho do VMware não suporta atualmente o modo de dispositivo partilhado. Saiba mais. |
SOTI | Se estiver a utilizar SOTI, o iniciador de aplicações SOTI é a melhor ferramenta para organizar um conjunto de aplicações a que a sua linha de frente precisa de aceder. O iniciador de aplicações SOTI suporta o modo de dispositivo partilhado atualmente. |
BlueFletch | O BlueFletch Launcher pode ser utilizado em dispositivos, independentemente da sua solução de MDM. O BlueFletch suporta o modo de dispositivo partilhado atualmente. Saiba mais. |
Iniciador de aplicações personalizado | Se quiser uma experiência totalmente personalizada, pode criar o seu próprio iniciador de aplicações personalizado. Pode integrar o iniciador no modo de dispositivo partilhado para que os utilizadores só precisem de iniciar e terminar sessão uma vez. |
Gestão de identidades
O Microsoft 365 para trabalhadores de primeira linha utiliza Microsoft Entra ID como o serviço de identidade subjacente para fornecer e proteger todas as aplicações e recursos. Os utilizadores têm de ter uma identidade que exista no Microsoft Entra ID para aceder às aplicações do Microsoft 365.
Se optar por gerir identidades de utilizador de primeira linha com Active Directory Domain Services (AD DS) ou um fornecedor de identidade de terceiros, terá de federar estas identidades para Microsoft Entra ID. Saiba como integrar o seu serviço de terceiros com Microsoft Entra ID.
Os padrões de implementação possíveis para gerir identidades de primeira linha incluem:
- Microsoft Entra autónomo: a sua organização cria e gere identidades de utilizadores, dispositivos e aplicações no Microsoft Entra ID como uma solução de identidade autónoma para as suas cargas de trabalho de primeira linha. Este padrão de implementação é recomendado, uma vez que simplifica a arquitetura de implementação de primeira linha e maximiza o desempenho durante o início de sessão do utilizador.
- Active Directory Domain Services (AD DS) integração com Microsoft Entra ID: a Microsoft fornece Microsoft Entra Connect para associar estes dois ambientes. Microsoft Entra Connect replica contas de utilizador do Active Directory para Microsoft Entra ID, permitindo que um utilizador tenha uma única identidade capaz de aceder a recursos locais e baseados na cloud. Embora o AD DS e Microsoft Entra ID possam existir como ambientes de diretório independentes, pode optar por criar diretórios híbridos.
- Sincronização da solução de identidade de terceiros com Microsoft Entra ID: Microsoft Entra ID suporta a integração com fornecedores de identidade de terceiros, como o Okta e o Ping Identity através da federação. Saiba mais sobre como utilizar fornecedores de identidade de terceiros.
Aprovisionamento de utilizadores orientados por RH
Automatizar o aprovisionamento de utilizadores é uma necessidade prática para as organizações que pretendem que os colaboradores de primeira linha possam aceder a aplicações e recursos no primeiro dia. Do ponto de vista da segurança, também é importante automatizar o desaprovisionamento durante a exclusão de funcionários para garantir que os funcionários anteriores não mantêm o acesso aos recursos da empresa.
Microsoft Entra serviço de aprovisionamento de utilizadores integra-se com aplicações de RH baseadas na cloud e no local, como Workday e SAP SuccessFactors. Pode configurar o serviço para automatizar o aprovisionamento e o desaprovisionamento de utilizadores quando um funcionário é criado ou desativado no sistema de RH.
Para saber mais informações, consulte os artigos:
- O que é o aprovisionamento orientado por RH com Microsoft Entra ID?
- Planear uma implementação de aprovisionamento automático de utilizadores para Microsoft Entra ID
Delegar a gestão de utilizadores com a Minha Equipa
Com a funcionalidade A Minha Equipa no Microsoft Entra ID, pode delegar tarefas comuns de gestão de utilizadores aos gestores de primeira linha através do portal O Meu Pessoal. Os gestores de primeira linha podem efetuar reposições de palavras-passe ou gerir números de telefone para trabalhadores de primeira linha diretamente a partir da loja ou fábrica, sem terem de encaminhar os pedidos para suporte técnico, operações ou TI.
A Minha Equipa também permite que os gestores de primeira linha registem os números de telefone dos membros da equipa para o início de sessão por SMS. Se a autenticação baseada em SMS estiver ativada na sua organização, os trabalhadores de primeira linha podem iniciar sessão no Teams e noutras aplicações utilizando apenas os respetivos números de telefone e um código de acesso único enviado através de SMS. Isto torna o início de sessão para trabalhadores de primeira linha simples e rápido.
Modo de dispositivo partilhado
Com a funcionalidade de modo de dispositivo partilhado do Microsoft Entra ID, pode configurar dispositivos para serem partilhados por funcionários. Esta funcionalidade permite o início de sessão único (SSO) e o fim de sessão em todo o dispositivo para o Teams e todas as outras aplicações que suportam o modo de dispositivo partilhado.
Eis como funciona o modo de dispositivo partilhado, utilizando o Teams como exemplo. Quando um funcionário inicia sessão no Teams no início do turno, inicia sessão automaticamente em todas as outras aplicações que suportam o modo de dispositivo partilhado no dispositivo. Quando terminam sessão no Teams no final do turno, terminam sessão em todas as outras aplicações que suportam o modo de dispositivo partilhado. Após terminar sessão, os dados do funcionário e os dados da empresa no Teams e em todas as outras aplicações que suportam o modo de dispositivo partilhado já não podem ser acedidos. O dispositivo está pronto para ser utilizado pelo próximo funcionário.
Pode integrar esta capacidade nas suas aplicações de linha de negócio (LOB) com a Biblioteca de Autenticação da Microsoft (MSAL).
Autenticação
As funcionalidades de autenticação controlam quem ou o que utiliza uma conta para obter acesso a aplicações, dados e recursos.
Conforme mencionado anteriormente, o Microsoft 365 para trabalhadores de primeira linha utiliza Microsoft Entra ID como o serviço de identidade subjacente para proteger aplicações e recursos do Microsoft 365. Para saber mais sobre a autenticação no Microsoft Entra ID, consulte O que é a autenticação Microsoft Entra? e Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?.
Autenticação multifator
Microsoft Entra autenticação multifator (MFA) funciona ao exigir dois ou mais dos seguintes métodos de autenticação ao iniciar sessão:
- Algo que o utilizador sabe, normalmente uma palavra-passe.
- Algo que o utilizador tem, como um dispositivo fidedigno que não é facilmente duplicado, como um telemóvel ou uma chave de hardware.
- Algo que o utilizador é- biometria como uma impressão digital ou análise facial.
A MFA suporta várias formas de métodos de verificação, incluindo a aplicação Microsoft Authenticator, chaves FIDO2, SMS e chamadas de voz.
A MFA fornece um elevado nível de segurança para aplicações e dados, mas adiciona atrito ao início de sessão do utilizador. Para organizações que escolham implementações BYOD, a MFA pode ou não ser uma opção prática. Recomenda-se vivamente que as equipas empresariais e técnicas validem a experiência do utilizador com a MFA antes de uma implementação abrangente para que o impacto do utilizador possa ser devidamente considerado nos esforços de gestão e preparação da mudança.
Se a MFA não for viável para a sua organização ou modelo de implementação, deve planear utilizar políticas de Acesso Condicional robustas para reduzir o risco de segurança.
Autenticação sem palavra-passe
Para simplificar ainda mais o acesso à sua força de trabalho de primeira linha, pode utilizar métodos de autenticação sem palavra-passe para que os trabalhadores não precisem de se lembrar ou introduzir as respetivas palavras-passe. Os métodos de autenticação sem palavra-passe removem a utilização de uma palavra-passe no início de sessão e substituem-na por:
- Algo que o utilizador tem, como um telefone ou uma chave de segurança.
- Algo que o utilizador é ou sabe, como biometria ou um PIN.
Normalmente, os métodos de autenticação sem palavra-passe também são mais seguros e muitos podem satisfazer os requisitos da MFA, se necessário.
Antes de prosseguir com um método de autenticação sem palavra-passe, determine se pode funcionar no seu ambiente existente. Considerações como custo, suporte do SO, requisitos de dispositivos pessoais e suporte de MFA podem afetar se um método de autenticação funcionaria para as suas necessidades.
Veja a tabela seguinte para avaliar os métodos de autenticação sem palavra-passe para o seu cenário de primeira linha.
Método | Suporte do SO | Necessita de um dispositivo pessoal | Suporta a MFA |
---|---|---|---|
Microsoft Authenticator | Todos | Sim | Sim |
Início de sessão por SMS | Android e iOS | Sim | Não |
Windows Hello | Windows | Não | Sim |
Tecla FIDO2 | Windows | Não | Sim |
Para saber mais, veja Opções de autenticação sem palavra-passe para Microsoft Entra ID e Configurar e ativar os utilizadores para autenticação baseada em SMS com Microsoft Entra ID.
Autorização
As funcionalidades de autorização controlam o que um utilizador autenticado pode fazer ou aceder. No Microsoft 365, isto é conseguido através de uma combinação de políticas de Acesso Condicional Microsoft Entra e políticas de proteção de aplicações.
A implementação de controlos de autorização robustos é um componente fundamental da proteção de uma implementação de dispositivos partilhados de primeira linha, especialmente se não for possível implementar métodos de autenticação fortes, como a MFA, por motivos práticos ou de custo.
Acesso Condicional Microsoft Entra
Com o Acesso Condicional, pode criar regras que limitam o acesso com base nos seguintes sinais:
- Associação de utilizador ou grupo
- Informações de localização do IP
- Dispositivo (disponível apenas se o dispositivo estiver inscrito no Microsoft Entra ID)
- Aplicação
- Deteção de riscos calculados e em tempo real
As políticas de Acesso Condicional podem ser utilizadas para bloquear o acesso quando um utilizador está num dispositivo não conforme ou quando está numa rede não fidedigna. Por exemplo, poderá querer utilizar o Acesso Condicional para impedir que os utilizadores acedam a uma aplicação de inventário quando não estão na rede de trabalho ou estão a utilizar um dispositivo não gerido, consoante a análise da sua organização das leis aplicáveis.
Para cenários BYOD em que faz sentido aceder a dados fora do trabalho, como informações relacionadas com RH, gestão de turnos, conversas sobre turnos de troca ou aplicações não relacionadas com empresas, pode optar por implementar políticas de Acesso Condicional mais permissivas juntamente com métodos de autenticação fortes como a MFA.
Para saber mais, veja a documentação Microsoft Entra Acesso Condicional.
Políticas de proteção de aplicações
Com a gestão de aplicações móveis (MAM) do Intune, pode utilizar políticas de proteção de aplicações com aplicações integradas no SDK da Aplicação Intune. Isto permite-lhe proteger ainda mais os dados da sua organização numa aplicação.
Com as políticas de proteção de aplicações, pode adicionar salvaguardas de controlo de acesso, tais como:
- Controlar a partilha de dados entre aplicações.
- Impedir a gravação de dados de aplicações da empresa numa localização de armazenamento pessoal.
- Certifique-se de que o sistema operativo do dispositivo está atualizado.
Numa implementação de dispositivos partilhados, pode utilizar políticas de proteção de aplicações para garantir que os dados não vazam para aplicações que não suportam o modo de dispositivo partilhado. Em cenários BYOD, as políticas de proteção de aplicações são úteis porque permitem proteger os seus dados ao nível da aplicação sem ter de gerir todo o dispositivo.
Limitar o acesso ao Teams quando os trabalhadores da linha da frente estão fora do turno
Com a funcionalidade de tempo útil, pode utilizar políticas de proteção de aplicações para limitar o acesso ao Teams para trabalhadores por turnos em dispositivos BYOD ou dedicados pertencentes à empresa. Esta funcionalidade permite-lhe bloquear o acesso ou mostrar uma mensagem de aviso quando os trabalhadores da linha da frente acedem ao Teams durante o tempo de descanso.
Para saber mais, consulte Limitar o acesso ao Teams quando os trabalhadores da linha da frente estão fora do turno.