Gerir dispositivos partilhados para trabalhadores de primeira linha
Descrição geral
Muitos trabalhadores da linha da frente utilizam dispositivos móveis partilhados para trabalhar. Os dispositivos partilhados são dispositivos pertencentes à empresa que são partilhados entre funcionários entre tarefas, turnos ou localizações.
Eis um exemplo de um cenário típico. Uma organização tem um conjunto de dispositivos em pacotes de carregamento para serem partilhados por todos os funcionários. No início de um turno, um funcionário pega num dispositivo do conjunto e inicia sessão no Microsoft Teams e noutras aplicações empresariais essenciais para a sua função. No final do turno, terminam sessão e devolvem o dispositivo ao conjunto. Mesmo no mesmo turno, um trabalhador pode devolver um dispositivo quando termina uma tarefa ou sai para o almoço e, em seguida, apanha um diferente quando volta a entrar.
Os dispositivos partilhados apresentam desafios de segurança exclusivos. Por exemplo, os funcionários podem ter acesso aos dados da empresa ou do cliente que não devem estar disponíveis para outras pessoas no mesmo dispositivo. As organizações que implementam dispositivos partilhados têm de definir a experiência de início de sessão e fim de sessão e implementar controlos para impedir o acesso não autorizado ou não intencional a aplicações e dados quando os dispositivos são distribuídos entre funcionários.
Este artigo aborda as capacidades e considerações para implementar e gerir dispositivos partilhados para ajudar a capacitar a sua força de trabalho de primeira linha com os dispositivos de que precisam para trabalhar. Utilize esta documentação de orientação para ajudar a planear e gerir a sua implementação de primeira linha.
Modo de dispositivo partilhado
Recomendamos que utilize o modo de dispositivo partilhado para os seus dispositivos partilhados de trabalho de primeira linha, sempre que possível.
O modo de dispositivo partilhado é uma funcionalidade do Microsoft Entra ID que permite às organizações configurar um dispositivo Android, iOS ou iPadOS para que possa ser facilmente partilhado por vários funcionários. Os funcionários podem iniciar sessão uma vez e obter acesso aos respetivos dados em todas as aplicações suportadas sem terem acesso aos dados de outros funcionários. Quando terminam o seu turno ou tarefa, terminam sessão uma vez e terminam sessão no dispositivo e em todas as aplicações suportadas, o que torna o dispositivo pronto para ser utilizado pelo próximo funcionário.
Principais vantagens de ativar o modo de dispositivo partilhado em dispositivos
- Início de sessão único: permita que os utilizadores iniciem sessão numa aplicação que suporte o modo de dispositivo partilhado uma vez e obtenham autenticação totalmente integrada em todas as outras aplicações que suportam o modo de dispositivo partilhado sem terem de reintroduzir as credenciais. Isentar os utilizadores de ecrãs de experiência de primeira execução em dispositivos partilhados.
- Fim de sessão único: permita aos utilizadores uma forma fácil de terminar sessão a partir de um dispositivo sem ter de terminar sessão individualmente a partir de cada aplicação que suporte o modo de dispositivo partilhado. Forneça aos utilizadores as garantias de que os respetivos dados não são apresentados de forma inadequada aos utilizadores subsequentes, uma vez que as aplicações garantem que são aplicadas políticas de proteção de aplicações e dados de utilizador em cache.
- Suporte para impor requisitos de segurança através de políticas de Acesso Condicional: fornece aos administradores a capacidade de direcionar políticas de Acesso Condicional específicas em dispositivos partilhados, garantindo que os funcionários só têm acesso aos dados da empresa quando o respetivo dispositivo partilhado cumpre as normas de conformidade internas.
Introdução ao modo de dispositivo partilhado
Pode configurar dispositivos para o modo de dispositivo partilhado manualmente ou através da sua solução de gestão de dispositivos móveis (MDM) através do aprovisionamento sem toque. Para saber mais, veja Descrição geral do modo de dispositivo partilhado.
Os programadores podem adicionar suporte para o modo de dispositivo partilhado às suas aplicações através da Biblioteca de Autenticação da Microsoft (MSAL). Para obter mais informações sobre como integrar as suas aplicações no modo de dispositivo partilhado, consulte:
- Modo de dispositivo partilhado para dispositivos Android
- Tutorial: Utilizar o modo de dispositivo partilhado na sua aplicação Android
- Modo de dispositivo partilhado para dispositivos iOS
Autenticação multifator
A autenticação multifator (MFA) do Microsoft Entra adiciona segurança adicional apenas através de uma palavra-passe quando um utilizador inicia sessão. A MFA é uma ótima forma de aumentar a segurança, embora possa acrescentar atrito à experiência de início de sessão para alguns utilizadores com a camada adicional de segurança para além de terem de memorizar as palavras-passe.
É importante validar a experiência do utilizador antes da implementação para que possa preparar-se para os esforços de gestão e preparação de alterações.
Se a MFA não for viável para a sua organização, deve planear implementar políticas de Acesso Condicional robustas para reduzir o risco de segurança. Algumas políticas comuns de Acesso Condicional a aplicar quando a MFA não é utilizada em dispositivos partilhados incluem:
- Conformidade dos dispositivos
- Localizações de rede fidedignas
- O dispositivo é gerido
Certifique-se de que avalia as políticas de Acesso Condicional e as políticas de proteção de aplicações que pretende aplicar para garantir que satisfazem as necessidades da sua organização.
Início de sessão sem domínio
Pode simplificar a experiência de início de sessão no Teams para iOS e Android ao pré-encher o nome de domínio no ecrã de início de sessão para utilizadores em dispositivos partilhados e geridos.
Os utilizadores iniciam sessão ao introduzir apenas a primeira parte do respetivo nome principal de utilizador (UPN). Por exemplo, se o nome de utilizador for 123456@contoso.com ou alexw@contoso.com, os utilizadores podem iniciar sessão utilizando apenas "123456" ou "alexw", respetivamente, e a respetiva palavra-passe. Iniciar sessão no Teams é mais rápido e fácil, especialmente para trabalhadores de primeira linha em dispositivos partilhados, que iniciam e saem regularmente.
Também pode ativar o início de sessão sem domínio para as suas aplicações de linha de negócio (LOB) personalizadas.
Saiba mais sobre o início de sessão sem domínio.
Acesso Condicional
Utilize políticas de Acesso Condicional para aplicar os controlos certos quando necessário para manter a sua organização segura. Pode criar regras que limitam o acesso com base em sinais orientados por identidades que incluem:
- Associação de utilizador ou grupo
- Informações de localização do IP
- Dispositivo (disponível apenas se o dispositivo estiver inscrito no Microsoft Entra ID)
- Aplicação
- Deteção de riscos calculados e em tempo real
Por exemplo, pode utilizar uma política de Acesso Condicional para restringir o acesso para que apenas os dispositivos partilhados marcados como conformes possam aceder às aplicações e serviços da sua organização. Eis alguns recursos que o ajudam a começar:
Políticas de proteção de aplicações
Com a gestão de aplicações móveis (MAM) do Intune, pode utilizar políticas de proteção de aplicações para garantir que os dados não vazam para aplicações que não suportam o modo de dispositivo partilhado. Para ajudar a evitar a perda de dados, ative as seguintes políticas de proteção de aplicações em dispositivos partilhados:
- Desative copiar/colar em aplicações ativadas para o modo de dispositivo não partilhado.
- Desative a gravação de ficheiros locais.
- Desative as capacidades de transferência de dados para aplicações ativadas para o modo de dispositivo não partilhado.
Conceder automaticamente consentimento às aplicações para funcionalidades do dispositivo
Num dispositivo partilhado, é importante remover ecrãs desnecessários que podem aparecer quando um utilizador acede a uma aplicação pela primeira vez. Estes ecrãs podem incluir pedidos para conceder permissão à aplicação para utilizar funcionalidades do dispositivo, como o microfone, a câmara ou a localização de acesso. Pode utilizar políticas de configuração de aplicações no Intune em dispositivos partilhados android para pré-configurar permissões de aplicações para aceder às funcionalidades do dispositivo.
Se estiver a utilizar uma solução de MDM de terceiros, consulte a documentação para obter opções disponíveis para conceder automaticamente consentimento às aplicações para acederem às funcionalidades do dispositivo.