Управление устройствами для сотрудников первой линии
В каждой отрасли сотрудники первой линии составляют большой сегмент рабочих ресурсов. Роли сотрудников первой линии включают розничных партнеров, заводских работников, выездных и сервисных специалистов, медицинских работников и многие другие.
Обзор
Поскольку рабочие ресурсы в значительной степени мобильны и часто работают посменно, управление устройствами, используемыми сотрудниками первой линии, является ключевым принципом. Некоторые вопросы, которые следует учитывать:
- Используют ли сотрудники корпоративные или свои личные устройства?
- Являются ли устройства компании общими для сотрудников или назначены отдельному лицу?
- Приносят ли работники устройства домой или оставляют на рабочем месте?
Важно установить безопасный и соответствующий требованиям базовый уровень для управления устройствами своих сотрудников, независимо от того, являются ли они общими устройствами или собственными устройствами сотрудников. В этой статье представлен обзор распространенных сценариев работы с устройствами для сотрудников первой линии, и возможностей управления, расширяющими возможности своих сотрудников и защиты данных компании.
Типы устройств
Общие устройства, собственные устройства и устройства киоска — это наиболее распространенные типы устройств, используемые сотрудниками первой линии.
| Тип устройства | Описание | Зачем использовать | Факторы, учитываемые при развертывании |
|---|---|---|---|
| Общие устройства | Устройства принадлежат вашей организации и управляются ими. Сотрудники получают доступ к устройствам во время работы. | Производительность рабочих и взаимодействие с клиентами являются главным приоритетом. Сотрудники не могут получить доступ к ресурсам организации, не находясь на работе. Местные законы могут запретить использование личных устройств в деловых целях. |
Вход и выход могут добавить трудности в рабочую работу. Возможность случайного совместного использования конфиденциальных данных. |
| Использование собственных устройств (BYOD) | Личные устройства принадлежат пользователю и управляются вашей организацией. | Существующее решение для управления мобильными устройствами (MDM) не позволяет вашей организации внедрить модель общих устройств. Общие или выделенные устройства могут быть непрактичными с точки зрения затрат или готовности бизнеса. |
Сложность поддержки может быть нецелесообразной в расположениях полей. Личные устройства различаются по ос, хранилищу и подключению. Некоторые сотрудники могут не иметь надежного доступа к личному мобильному устройству. Вы можете понести потенциальную ответственность за заработную плату, если работники получают доступ к ресурсам, пока не часы. Использование личного устройства может выполняться в соответствии с правилами профсоюза или государственными правилами. |
| Устройства киоска | Устройства принадлежат вашей организации и управляются ими. Пользователям не нужно выполнять вход или выход. | Устройство имеет специальное назначение. Вариант использования не требует проверки подлинности пользователя. |
Для работы, взаимодействия, задач и рабочих процессов приложениям требуется удостоверение пользователя. Невозможно провести аудит активности пользователей. Не удается использовать некоторые возможности безопасности, включая многофакторную проверку подлинности. |
Общие устройства и BYOD обычно используются во внешних развертываниях. Вы можете использовать возможности, рассмотренные в последующих разделах этой статьи, чтобы устранить проблемы вашей организации по поводу взаимодействия с пользователем, несанкционированного доступа рабочих к данным и ресурсам, а также возможность развертывания устройств и управления ими в большом масштабе.
Примечание.
Развертывания устройств киоска не рекомендуется, так как они не разрешают аудит пользователей и возможности безопасности на основе пользователей, такие как многофакторная проверка подлинности. Дополнительные сведения об устройствах киоска.
Общие устройства
Многие сотрудники первой линии используют общие мобильные устройства для работы. Общие устройства — это устройства, принадлежащие компании и совместно используемые сотрудниками для разных задач, смен или расположений.
Вот пример типичного сценария. В организации есть пул устройств в зарядных подставках, которыми могут пользоваться все сотрудники. В начале смены сотрудники берут устройства из пула и входят в Teams и другие бизнес-приложения, необходимые для их ролей. В конце смены они выходят из системы и возвращают устройство в пул. Даже в пределах одной смены сотрудник может вернуть устройство, когда закончит работу или уйдет на обед, а затем забрать другое по возвращении.
Общие устройства создают уникальные проблемы безопасности. Например, у сотрудников может быть доступ к данным компании или клиентов, которые не должны быть доступны другим людям на том же устройстве.
Личные устройства (BYOD)
В некоторых организациях используется модель BYOD, в которой сотрудники первой линии используют собственные мобильные устройства для доступа к Teams и другим бизнес-приложениям. Ниже представлен обзор некоторых способов управления доступом и соответствием требованиям на личных устройствах.
Операционная система устройства
Выбранная модель развертывания частично определяет, какие операционные системы устройств вы поддерживаете. Например, если вы реализуете модель BYOD, вам потребуется поддержка устройств Android и iOS. Если вы реализуете модель общих устройств, выбранные вами ОС устройства будут определять доступные возможности. Например, устройства Windows изначально поддерживают возможность хранения нескольких профилей пользователей для автоматического входа и простой проверки подлинности с помощью Windows Hello. В Android и iOS применяются дополнительные действия и предварительные требования.
| Операционная система устройства | Рекомендации |
|---|---|
| Windows | Встроенная поддержка хранения нескольких профилей пользователей на устройстве. Поддерживает Windows Hello для проверки подлинности без пароля. Упрощенные возможности развертывания и управления при использовании с Microsoft Intune. |
| Android | Ограниченные собственные возможности для хранения нескольких профилей пользователей на устройствах. Устройства Android можно зарегистрировать в режиме общего устройства, чтобы автоматизировать единый вход и выход. Надежное управление элементами управления и API. Существующая экосистема устройств, созданных для использования на переднем крае. |
| iOS и iPadOS | Устройства iOS можно зарегистрировать в режиме общего устройства, чтобы автоматизировать единый вход и выход. Хранение нескольких профилей пользователей на устройствах iPadOS возможно с помощью общего iPad для бизнеса. Условный доступ недоступен для общего iPad для бизнеса из-за того, что Apple секционирует профили пользователей. |
В развертывании общих устройств возможность хранения нескольких профилей пользователей на устройстве для упрощения входа пользователей и возможность очистки данных приложения от предыдущего пользователя (единый выход) являются практическими требованиями для развертываний на передней линии. Эти возможности являются собственными на устройствах Windows и iPad, использующих общий iPad для бизнеса.
Удостоверение пользователя
Microsoft 365 для сотрудников первой линии использует идентификатор Microsoft Entra в качестве базовой службы удостоверений для доставки и защиты всех приложений и ресурсов. Для доступа к облачным приложениям Microsoft 365 у пользователей должно быть удостоверение, которое существует в Microsoft Entra идентификаторе.
Если вы решили управлять удостоверениями пользователей с доменные службы Active Directory (AD DS) или сторонним поставщиком удостоверений, вам потребуется федерация этих удостоверений для Microsoft Entra идентификатора. Узнайте, как интегрировать стороннюю службу с идентификатором Microsoft Entra.
Возможные шаблоны реализации для управления удостоверениями переднего плана:
- Microsoft Entra автономном режиме. Ваша организация создает удостоверения пользователей, устройств и приложений и управляет ими в Microsoft Entra ID в качестве автономного решения для удостоверений для рабочих нагрузок первой линии. Этот шаблон реализации рекомендуется использовать, так как он упрощает архитектуру развертывания frontline и повышает производительность при входе пользователя.
- интеграция доменные службы Active Directory (AD DS) с идентификатором Microsoft Entra. Корпорация Майкрософт предоставляет Microsoft Entra Connect для присоединения к этим двум средам. Microsoft Entra Connect реплицирует учетные записи пользователей AD в Microsoft Entra идентификатор, что позволяет пользователю иметь одно удостоверение, способное получить доступ как к локальным, так и к облачным ресурсам. Хотя ad DS и Microsoft Entra ID могут существовать как независимые среды каталогов, вы можете создать гибридные каталоги.
- Синхронизация стороннего решения для идентификации с идентификатором Microsoft Entra: Microsoft Entra ID поддерживает интеграцию со сторонними поставщиками удостоверений, такими как Okta и Ping Identity, через федерацию. Дополнительные сведения об использовании сторонних поставщиков удостоверений.
Подготовка пользователей на основе отдела кадров
Автоматизация подготовки пользователей — это практическая необходимость для организаций, которые хотят, чтобы сотрудники первой линии могли получать доступ к приложениям и ресурсам в первый день. С точки зрения безопасности также важно автоматизировать отзыв во время отключения сотрудников, чтобы предыдущие сотрудники не сохраняли доступ к ресурсам компании.
Microsoft Entra служба подготовки пользователей интегрируется с облачными и локальными приложениями отдела кадров, такими как Workday и SAP SuccessFactors. Вы можете настроить службу для автоматизации подготовки и отзыва пользователей при создании или отключении сотрудника в системе управления персоналом.
Мои сотрудники
С помощью функции "Мои сотрудники" в Microsoft Entra id вы можете делегировать общие задачи управления пользователями руководителям с помощью портала "Мои сотрудники". Руководители первой линии могут сбрасывать пароли или управлять телефонными номерами сотрудников первой линии непосредственно из магазина или производственного цеха, не перенаправляя запросы в службу поддержки, операционный отдел или ИТ-отдел.
My Staff также позволяет руководителям первой линии, регистрировать телефонные номера участников своей группы для входа в систему с помощью SMS. Если в вашей организации включена проверка подлинности на основе SMS, сотрудники первой линии могут входить в Teams и другие приложения, используя только свои номера телефонов и одноразовый пароль, отправленный по SMS. Это обеспечивает простой, быстрый и безопасный вход для сотрудников первой линии.
Управление мобильными устройствами
Решения для управления мобильными устройствами (MDM) упрощают развертывание, управление и мониторинг устройств. Microsoft Intune изначально поддерживает функции, важные для развертывания общих устройств для сотрудников первой линии. Предоставляются следующие возможности:
- Подготовка с нуля: ИТ-администраторы могут регистрировать и предварительно настраивать мобильные устройства без физического хранения устройств (для настройки вручную). Эта возможность полезна при развертывании общих устройств в большом масштабе в полевых расположениях, так как устройства могут быть отправлены непосредственно в предполагаемое расположение на переднем крае, где можно удаленно выполнять автоматизированные действия по настройке и подготовке.
- Единый выход: Останавливает фоновые процессы и автоматизирует выход пользователей во всех приложениях и ресурсах, назначенных предыдущему пользователю при входе нового пользователя. Устройства Android и iOS должны быть зарегистрированы в режиме общего устройства, чтобы использовать единый выход.
- Microsoft Entra условный доступ. ИТ-администраторы могут реализовать решения об автоматическом управлении доступом для облачных приложений и ресурсов с помощью сигналов на основе удостоверений. Например, можно запретить доступ с общего устройства или устройства BYOD, на котором не установлены последние обновления для системы безопасности. Узнайте больше о том, как защитить развертывание.
Если вы используете стороннее решение MDM для развертывания общих устройств, например Рабочая область VMware ONE или SOTI MobiControl, важно понимать связанные возможности, ограничения и доступные обходные пути.
Некоторые сторонние MDM могут очищать данные приложения при глобальном выходе на устройство Android. Однако очистка данных приложения может пропустить данные, хранящиеся в общем расположении, удалить параметры приложения или привести к повторному появляется интерфейс первого запуска. Устройства Android, зарегистрированные в режиме общего устройства, могут выборочно очищать необходимые данные приложения во время проверка устройства или при входе нового пользователя на устройство. Дополнительные сведения о проверке подлинности в режиме общего устройства.
Режим общего устройства можно настроить вручную в сторонних решениях MDM для устройств iOS и Android, однако при настройке вручную устройство не помечает его в Microsoft Entra ID, что означает, что условный доступ не поддерживается в этом сценарии. Если вы решили вручную настроить устройства в режиме общего устройства, вам потребуется выполнить дополнительные действия по повторной регистрации устройств Android в режиме общего устройства с подготовкой к работе с нулевым касанием, чтобы получить поддержку условного доступа при наличии поддержки сторонних MDM, удалив и переустановив Authenticator с устройства.
Устройство можно зарегистрировать только в одном решении MDM, но для управления отдельными пулами устройств можно использовать несколько решений MDM. Например, можно использовать Workspace ONE для общих устройств и Intune для BYOD. Если вы используете несколько решений MDM, помните, что некоторые пользователи могут не иметь доступа к общим устройствам из-за несоответствия политик условного доступа.
| Решение MDM | Единый выход | Подготовка нулевого касания | Условный доступ Microsoft Entra |
|---|---|---|---|
| Intune (Майкрософт) | Поддерживается для устройств Android и iOS, зарегистрированных в режиме общего устройства | Поддерживается для устройств Android и iOS, зарегистрированных в режиме общего устройства | Поддерживается для устройств Android и iOS, зарегистрированных в режиме общего устройства |
| Workspace ONE (VMware) | Поддерживается с возможностями очистки данных приложений Android . Недоступно для iOS | В настоящее время недоступно для Android и iOS. | В настоящее время недоступно для Android и iOS. |
| MobiControl (SOTI) | Поддерживается с возможностями очистки данных программы . Недоступно для iOS. | В настоящее время недоступно для Android и iOS. | В настоящее время недоступно для Android и iOS. |
Устройства Windows, зарегистрированные в Intune, поддерживают единый выход, подготовку без касания и Microsoft Entra условный доступ. Вам не нужно настраивать режим общего устройства на устройствах Windows.
Intune рекомендуется использовать для сценариев BYOD, так как он обеспечивает наилучшую поддержку и функциональность всех типов устройств.
Регистрация личных устройств с Android и iOS
В дополнение к устройствам, принадлежащим компании, вы можете зарегистрировать личные устройства пользователей для управления в Intune. Для регистрации BYOD вы добавляете пользователей устройств в Центр администрирования Microsoft Intune, настраиваете их процесс регистрации и настраиваете политики Intune. Пользователи самостоятельно завершают регистрацию в приложении корпоративного портала Intune, установленном на их устройстве.
В некоторых случаях пользователи могут неохотно регистрировать свои личные устройства в системе управления. Если регистрация устройства невозможна, вы можете выбрать подход к управлению мобильными приложениями (MAM) и использовать политики защиты приложений для управления приложениями, содержащими корпоративные данные. Например, вы можете применить политики защиты приложений к мобильным приложениям Teams и Office для предотвращения копирования данных компании в личные приложения на устройстве.
Дополнительные сведения см. в разделах "Личные устройства и устройства, принадлежащие организации" в руководстве по планированию Intune и в руководстве по развертыванию: регистрация устройств в Microsoft Intune.
Проверка подлинности
Функции проверки подлинности определяют, кто или что использует учетную запись для получения доступа к приложениям, данным и ресурсам. Организациям, развертывающим общие устройства для сотрудников первой линии, требуются средства проверки подлинности, которые не препятствуют производительности рабочих, предотвращая несанкционированный или непреднамерованный доступ к приложениям и данным при передаче устройств между пользователями, прошедшими проверку подлинности.
Решение microsoft frontline поставляется из облака и использует идентификатор Microsoft Entra в качестве базовой службы удостоверений для защиты приложений и ресурсов Microsoft 365. Эти функции проверки подлинности в Microsoft Entra id учитывают уникальные рекомендации для развертываний общих устройств: автоматический единый вход, единый выход и другие методы строгой проверки подлинности.
Режим общего устройства
Режим общего устройства — это функция Microsoft Entra идентификатора, которая позволяет настраивать устройства для совместного использования сотрудниками. Эта функция обеспечивает единый вход (SSO) и выход на уровне устройства для Microsoft Teams и всех других приложений, поддерживающих режим общего устройства. Вы можете интегрировать эту возможность в свои бизнес-приложения (LOB) с помощью библиотеки проверки подлинности Microsoft (MSAL). Когда устройство находится в режиме общего устройства, приложения, использующие библиотеку проверки подлинности Майкрософт (MSAL), могут обнаружить, что они запущены на общем устройстве, и определить, кто является активным пользователем. С помощью этих сведений приложения могут выполнять следующие элементы управления проверкой подлинности:
- Автоматический единый вход: Если пользователь уже вошел в другое приложение MSAL, он войдет в любое приложение, совместимое с режимом общего устройства. Это улучшение предыдущего единого входа, так как это еще больше сокращает время, необходимое для доступа к приложениям после входа в первое приложение, устраняя необходимость выбора ранее выполненной учетной записи.
- Единый выход: После выхода пользователя из приложения с помощью MSAL все остальные приложения, интегрированные с режимом общего устройства, могут остановить фоновые процессы и начать процессы очистки данных, чтобы предотвратить несанкционированный или непреднамерованный доступ следующего пользователя.
Вот как работает режим общего устройства на примере Teams. При входе в Teams в начале своей смены, сотрудники автоматически входят во все другие приложения, поддерживающие режим общего устройства на устройстве. В конце смены, когда они выходят из Teams, они глобально выходят из всех других приложений, поддерживающих режим общего устройства. После выхода данные сотрудника и данные компании в Teams (включая приложения, размещенные в нем) и во всех других приложениях, поддерживающих режим общего устройства, больше не будут доступны. Устройство готово для следующего сотрудника и может быть безопасно передано.
Режим общего устройства — это улучшение функции очистки данных приложений для Android, так как он позволяет разработчикам приложений выборочно очищать персональные данные пользователей, не влияя на параметры приложения или кэшированные данные. В режиме общего устройства флаги, позволяющие приложению запомнить, отображается ли интерфейс первого запуска, не удаляются, поэтому пользователи не видят первый запуск каждый раз при входе.
Режим общего устройства также позволяет зарегистрировать устройство в Microsoft Entra идентификатор один раз для всех пользователей, чтобы можно было легко создавать профили для безопасного использования приложений и данных на общем устройстве. Это позволяет поддерживать условный доступ без необходимости повторной регистрации устройства каждый раз, когда новый пользователь проходит проверку подлинности на устройстве.
Вы используете решение для управления мобильными устройствами (MDM), например Microsoft Intune или Microsoft Configuration Manager, чтобы подготовить устройство к совместному использованию, установив приложение Microsoft Authenticator и включив общий режим. Teams и все другие приложения, поддерживающие режим общего устройства, используют параметр общего режима для управления пользователями на устройстве. Используемое вами решение MDM также должно выполнять очистку устройства при выходе из системы.
Примечание.
Режим общего устройства не является полным решением для защиты от потери данных. Режим общего устройства следует использовать в сочетании с политиками Microsoft Application Manager (MAM), чтобы данные не утекали в области устройства, которые не используют режим общего устройства (например, локальное хранилище файлов).
Предварительные требования и рекомендации
Чтобы использовать режим общего устройства, необходимо выполнить следующие предварительные требования.
- Сначала на устройстве должен быть установлен Microsoft Authenticator.
- Устройство должно быть зарегистрировано в режиме общего устройства.
- Все приложения, которым нужны эти преимущества, должны интегрироваться с API-интерфейсами режима общего устройства в MSAL.
Политики MAM необходимы для предотвращения перемещения данных из приложений с поддержкой общего устройства в приложения с поддержкой режима общего устройства в приложения с поддержкой режима общего устройства.
В настоящее время подготовка режима общего устройства с нулевым касанием доступна только в Intune. Если вы используете стороннее решение MDM, устройства должны быть зарегистрированы в режиме общего устройства с помощью действий по настройке вручную.
Примечание.
Условный доступ поддерживается не полностью для устройств, настроенных вручную.
Некоторые приложения Microsoft 365 в настоящее время не поддерживают режим общего устройства. В приведенной ниже таблице перечислены доступные сведения. Если в нужном приложении отсутствует интеграция с режимом общего устройства, рекомендуется запустить веб-версию приложения в Microsoft Teams или Microsoft Edge, чтобы получить преимущества режима общего устройства.
Режим общего устройства сейчас поддерживается на устройствах Android. Вот некоторые ресурсы, которые помогут вам начать работу.
Регистрация устройств Android в режиме общего устройства
Для управления устройствами Android и их регистрации в режиме общего устройства с помощью Intune устройства должны работать под управлением ОС Android версии 8.0 или более поздней и иметь возможность подключения к Google Mobile Services (GMS). Дополнительные сведения см. в статьях
- Настройка регистрации Intune для выделенных устройств Android Enterprise
- Регистрация выделенных устройств Android Enterprise в режиме Microsoft Entra общего устройства
Вы также можете развернуть приложение Microsoft Managed Home Screen, чтобы адаптировать его для пользователей на выделенных устройствах Android, зарегистрированных в Intune. Managed Home Screen действует как средство запуска других утвержденных приложений, которые можно запускать поверх него, и позволяет настраивать устройства и ограничивать доступ сотрудников. Например, вы можете определить, как приложения будут отображаться на главном экране, добавить логотип своей компании, установить собственные обои и разрешить сотрудникам устанавливать PIN-код сеанса. Вы даже можете настроить автоматический выход после указанного периода бездействия. Дополнительные сведения см. в статьях
- Настройка Microsoft Managed Home Screen для Android Enterprise
- Как настроить Microsoft Managed Home Screen на выделенных устройствах в режиме киоска с несколькими приложениями
Для разработчиков, создающих приложения для режима общего устройства
Если вы разработчик, для получения дополнительных сведений об интеграции своего приложения с режимом общего устройства см. следующие ресурсы:
Многофакторная проверка подлинности
идентификатор Microsoft Entra поддерживает несколько форм многофакторной проверки подлинности с помощью приложения Authenticator, ключей FIDO2, SMS, голосовых вызовов и т. д.
Из-за более высоких затрат и юридических ограничений наиболее безопасные методы проверки подлинности могут оказаться нецелесообразной для многих организаций. Например, ключи безопасности FIDO2 обычно считаются слишком дорогими, биометрические инструменты, такие как Windows Hello, могут работать в соответствии с существующими правилами или правилами профсоюза, а вход в SMS может быть невозможен, если сотрудникам, работающим с клиентами, не разрешено использовать свои личные устройства на работу.
Многофакторная проверка подлинности обеспечивает высокий уровень безопасности для приложений и данных, но постоянно создает трудности при входе пользователей. Для организаций, которые выбирают развертывания BYOD, многофакторная проверка подлинности может быть практическим вариантом. Настоятельно рекомендуется, чтобы бизнес-команды и технические команды проверяли взаимодействие с пользователем с помощью многофакторной проверки подлинности перед широким развертыванием, чтобы можно было должным образом учитывать влияние на пользователей при управлении изменениями и подготовке к работе.
Если многофакторная проверка подлинности нецелесообразно для вашей организации или модели развертывания, следует запланировать использование надежных политик условного доступа для снижения риска безопасности.
Проверка подлинности без пароля
Чтобы еще больше упростить доступ для сотрудников первой линии, можно использовать методы проверки подлинности без пароля, чтобы сотрудникам не нужно запоминать или вводить пароли. Методы проверки подлинности без пароля также обычно более безопасны, и при необходимости многие из них могут удовлетворять требованиям MFA.
Прежде чем использовать метод проверки подлинности без пароля, необходимо определить, может ли он работать в существующей среде. Такие факторы, как затраты, поддержка ОС, требования к личному устройству и поддержка MFA, могут повлиять на работу метода проверки подлинности в соответствии с вашими потребностями. Например, ключи безопасности FIDO2 в настоящее время считаются слишком дорогими, а вход в SMS и Authenticator может оказаться невозможным, если сотрудникам, работающим с клиентами, не разрешено использовать свои личные устройства на работу.
Ознакомьтесь с таблицей, чтобы оценить методы проверки подлинности без пароля для вашего сценария первой линии.
| Метод | Поддержка ОС | Требуется личное устройство | Поддержка многофакторной проверки подлинности |
|---|---|---|---|
| Вход в SMS | Android и iOS | Да | Нет |
| Windows Hello | Windows | Нет | Да |
| Microsoft Authenticator | Все | Да | Да |
| Ключ FIDO2 | Windows | Нет | Да |
Если вы выполняете развертывание с общими устройствами и предыдущие варианты без пароля не являются возможными, вы можете отключить строгие требования к паролям, чтобы пользователи могли предоставлять более простые пароли при входе на управляемые устройства. Если вы решили отключить строгие требования к паролям, следует рассмотреть возможность добавления этих стратегий в план реализации.
- Отключите только строгие требования к паролям для пользователей общих устройств.
- Создайте политику условного доступа, которая запрещает этим пользователям входить на устройства, не являющиеся общими, в ненадежных сетях.
Авторизация
Функции авторизации управляют тем, что пользователь, прошедший проверку подлинности, может делать или получать к ней доступ. В Microsoft 365 это достигается за счет сочетания политик условного доступа Microsoft Entra и политик защиты приложений.
Реализация надежных элементов управления авторизацией является критически важным компонентом защиты развертывания общих устройств с интерфейсом, особенно если невозможно реализовать надежные методы проверки подлинности, такие как многофакторная проверка подлинности (MFA), по соображениям затрат или практических целей.
Условный доступ Microsoft Entra
С помощью условного доступа можно создавать правила, ограничивающие доступ на основе следующих сигналов:
- Членство пользователей или групп
- Сведения о расположении IP-адреса
- Устройство (доступно только в том случае, если устройство зарегистрировано в Microsoft Entra id)
- Приложение
- Обнаружение рисков в режиме реального времени и вычисление
Политики условного доступа можно использовать для блокировки доступа, если пользователь находится на несоответствующем устройству или в ненадежной сети. Например, вы можете использовать условный доступ, чтобы запретить пользователям доступ к приложению инвентаризации, если они не находятся в рабочей сети или используют неуправляемое устройство, в зависимости от анализа применимых законов в вашей организации.
Для сценариев BYOD, в которых имеет смысл получать доступ к данным за пределами работы, например к информации, связанной с персоналом, или приложениям, не связанным с бизнесом, можно реализовать более разрешительные политики условного доступа наряду с надежными методами проверки подлинности, такими как многофакторная проверка подлинности.
Условный доступ поддерживается для:
- Общие устройства Windows, управляемые в Intune.
- Общие устройства Android и iOS, зарегистрированные в режиме общего устройства с подготовкой к работе с нулевым касанием.
- BYOD для Windows, Android и iOS, управляемый с помощью Intune или сторонних решений MDM.
Условный доступ не поддерживается для:
- Устройства, вручную настроенные в режиме общего устройства, включая устройства Android и iOS, управляемые сторонними решениями MDM.
- Устройства iPad, использующие общий iPad для бизнеса.
Примечание.
Условный доступ для устройств Android, управляемых с помощью некоторых сторонних решений MDM, появится в ближайшее время.
Дополнительные сведения об условном доступе см. в документации по условному доступу Microsoft Entra.
Политики защиты приложений
С помощью MAM из Intune можно использовать политики защиты приложений (APP) с приложениями, интегрированными с пакетом SDK для приложений Intune. Это позволяет дополнительно защитить данные вашей организации в приложении.
С помощью политик защиты приложений можно добавить меры безопасности управления доступом, такие как:
- Требовать PIN-код для открытия приложения в рабочем контексте.
- Управление общим доступом к данным между приложениями
- предотвращать сохранение данных из корпоративных приложений в личное хранилище.
- Убедитесь, что операционная система устройства обновлена
Вы также можете использовать APP, чтобы гарантировать, что данные не будут передаваться в приложения, которые не поддерживают режим общего устройства. Чтобы предотвратить потерю данных, на общих устройствах должны быть включены следующие точки доступа:
- Отключите копирование и вставку в приложения, не поддерживающие общий режим устройства.
- Отключите сохранение локального файла.
- Отключите возможности передачи данных в приложениях с поддержкой режима общего устройства.
APP полезны в сценариях BYOD, так как они позволяют защищать данные на уровне приложения без необходимости управлять всем устройством. Это важно в сценариях, когда у сотрудников может быть устройство, управляемое другим клиентом (например, университетом или другим работодателем), и оно не может управляться другой компанией.
Управление приложениями
План развертывания должен включать инвентаризацию и оценку приложений, которые потребуются сотрудникам переднего плана для выполнения своих задач. В этом разделе рассматриваются рекомендации и необходимые шаги для обеспечения доступа пользователей к необходимым приложениям и оптимизации взаимодействия в контексте реализации на переднем крае.
Для целей этой оценки приложения делятся на три группы:
- Приложения Майкрософт создаются и поддерживаются корпорацией Майкрософт. Приложения Майкрософт поддерживают идентификатор Microsoft Entra и интегрируются с пакетом SDK для приложений Intune. Однако не все приложения Майкрософт поддерживаются в режиме общего устройства. [См. список поддерживаемых приложений и доступности.] (закладка проверки подлинности)
- Сторонние приложения создаются и продаются сторонним поставщиком. Некоторые приложения не поддерживают Microsoft Entra идентификатор, пакет SDK для приложений Intune или режим общего устройства. Обратитесь к поставщику приложений и вашей команде по работе с учетными записями Майкрософт, чтобы узнать, какой будет взаимодействие с пользователем.
- Пользовательские бизнес-приложения разрабатываются вашей организацией для удовлетворения внутренних бизнес-потребностей. Если вы создаете приложения с помощью Power Apps, приложение автоматически включается с Microsoft Entra id, Intune и режимом общего устройства.
Приложения, к которым обращаются пользователи передней линии, соответствуют этим требованиям (если применимо) для включения глобального единого входа и единого выхода.
- Интеграция пользовательских и сторонних приложений с MSAL: Пользователи могут проходить проверку подлинности в приложениях с помощью идентификатора Microsoft Entra, включить единый вход и применить политики условного доступа.
- Интеграция приложений с режимом общего устройства (применяется только к общим устройствам Android или iOS): Приложения могут использовать необходимые API режима общего устройства в MSAL для автоматического единого входа и единого выхода. Правильное использование этих API позволяет интегрироваться с режимом общего устройства. Это необязательно, если вы запускаете приложение в Teams, Microsoft Edge или PowerApps.
- Интеграция с пакетом SDK для приложений Intune (применяется только к общим устройствам Android или iOS): Приложениями можно управлять в Intune, чтобы предотвратить непреднамеренное или несанкционированное использование данных. Это необязательно, если MDM выполняет очистку данных приложения, которая очищает конфиденциальные данные во время потоков проверка устройства (единый выход).
После успешной проверки приложений их можно развернуть на управляемых устройствах с помощью решения MDM. Это позволяет предварительно установить все необходимые приложения во время регистрации устройства, чтобы пользователи имели все необходимое в первый день.
Средства запуска приложений для устройств Android
На устройствах Android лучший способ обеспечить сфокусированное взаимодействие, как только сотрудник открывает устройство, — предоставить настраиваемый экран запуска. С помощью настраиваемого экрана запуска можно отобразить только те приложения, которые сотрудник должен использовать, и мини-приложения, которые выделяют ключевую информацию.
Большинство решений MDM предоставляют собственное средство запуска приложений, которое можно использовать. Например, корпорация Майкрософт предоставляет Управляемый главный экран. Если вы хотите создать собственное пользовательское средство запуска приложений для общих устройств, необходимо интегрировать его с режимом общего устройства, чтобы единый вход и единый выход работали на ваших устройствах. В следующей таблице перечислены некоторые из наиболее распространенных средств запуска приложений, доступных сегодня корпорацией Майкрософт и сторонними разработчиками.
| Средство запуска приложений | Возможности |
|---|---|
| Управляемый главный экран | Используйте Управляемый главный экран, если требуется, чтобы конечные пользователи имели доступ к определенному набору приложений на выделенных устройствах, зарегистрированных в Intune. Так как Управляемый главный экран может автоматически запускаться в качестве начального экрана по умолчанию на устройстве и отображается для конечного пользователя в качестве единственного начального экрана, он полезен в сценариях с общими устройствами, когда требуется заблокированный интерфейс. |
| Microsoft Launcher | Microsoft Launcher позволяет пользователям персонализировать свой телефон, сохранять организованность в пути и переносить работу со своего телефона на компьютер. Microsoft Launcher отличается от Управляемый главный экран тем, что позволяет конечному пользователю получить доступ к стандартному начальном экране. Поэтому Microsoft Launcher полезен в сценариях BYOD. |
| Средство запуска VMware Workspace ONE | Для клиентов, использующих VMware, средство запуска Workspace ONE — это лучший инструмент для курировать набор приложений, к которым вашим сотрудникам первой линии требуется доступ. Параметр выхода из этого средства запуска также позволяет Android App Data Clear для единого выхода на устройствах VMware. VMware Workspace ONE Launcher в настоящее время не поддерживает режим общего устройства. |
| Настраиваемое средство запуска приложений | Если вам нужен полностью настраиваемый интерфейс, можно создать собственное пользовательское средство запуска приложений. Вы можете интегрировать средство запуска с режимом общего устройства, чтобы пользователям нужно было войти и выйти только один раз. |
Статьи по теме
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по