Общие сведения об управлении устройствами для сотрудников первой линии
Обзор
В каждой отрасли сотрудники первой линии составляют большой сегмент рабочих ресурсов. Роли сотрудников первой линии включают розничных партнеров, заводских работников, выездных и сервисных специалистов, медицинских работников и многие другие.
Поскольку рабочие ресурсы в значительной степени мобильны и часто работают посменно, управление устройствами, используемыми сотрудниками первой линии, является ключевым принципом. Некоторые вопросы, которые следует учитывать:
- Используют ли сотрудники корпоративные или свои личные устройства?
- Являются ли устройства компании общими для сотрудников или назначены отдельному лицу?
- Приносят ли работники устройства домой или оставляют на рабочем месте?
Важно установить безопасный и соответствующий требованиям базовый уровень для управления устройствами своих сотрудников, независимо от того, являются ли они общими устройствами или собственными устройствами сотрудников.
В этой статье представлен обзор распространенных сценариев работы с устройствами для сотрудников первой линии, и возможностей управления, расширяющими возможности своих сотрудников и защиты данных компании. Используйте эти сведения и рекомендации, чтобы спланировать развертывание устройства первой линии.
Развертывание устройства
Ключевым этапом планирования является определение способа развертывания мобильных устройств в передней линии и операционных систем для поддержки. Решайте эти решения заранее, чтобы оценить возможность реализации плана реализации и ИТ-инфраструктуры с учетом этих факторов.
Модели развертывания
Общие устройства и использование собственных устройств (BYOD) — это наиболее распространенные типы устройств, используемые в организациях с интерфейсной линией. В следующей таблице перечислены эти модели развертывания, а также другие и связанные с ними рекомендации.
| Тип устройства | Описание | Зачем использовать | Факторы, учитываемые при развертывании |
|---|---|---|---|
| Общие устройства | Устройства, принадлежащие и управляемые вашей организацией. Сотрудники получают доступ к устройствам во время работы. |
Производительность рабочих и взаимодействие с клиентами являются главным приоритетом. Сотрудники не могут получить доступ к ресурсам организации, если они не работают. Местные законы могут запретить использование личных устройств в деловых целях. |
Определите способ входа и выхода из устройства. Рассмотрите возможность использования политик условного доступа Microsoft Entra для защиты общих устройств, если многофакторная проверка подлинности (MFA) не является вариантом. |
| Использование собственного устройства (BYOD) | Личные устройства, принадлежащие пользователю и управляемые вашей организацией. | Вы хотите предоставить сотрудникам удобный способ проверка расписания смен, общаться с коллегами по сменам или получать доступ к ресурсам отдела кадров, таким как их paystub. Общие или выделенные устройства могут быть непрактичными с точки зрения затрат или готовности бизнеса. |
Личные устройства различаются операционной системой, хранилищем и подключением. Использование личного устройства может быть в соответствии с правилами профсоюза или государственными правилами. Некоторые сотрудники могут не иметь надежного доступа к личному мобильному устройству. |
| Выделенные устройства1 | Устройства, принадлежащие вашей организации и управляемые и выданные одному пользователю. | Для приема звонков и sms рабочей роли требуется выделенный номер телефона. Организации требуется полный контроль над устройством и его использованием сотрудниками. |
Стоимость выделенного оборудования. Дополнительные усилия для развертывания и сложности поддержки могут быть нецелесообразными в расположениях на местах. |
| Устройства киоска2 | Устройства, принадлежащие и управляемые вашей организацией. Пользователям не нужно выполнять вход или выход. | Устройство имеет специальное назначение. Вариант использования не требует проверки подлинности пользователя. |
Для работы приложений для совместной работы, взаимодействия, задач и рабочих процессов требуется удостоверение пользователя. Невозможно провести аудит активности пользователей. Не удается использовать некоторые возможности безопасности, включая MFA. |
1Выделенные устройства редко встречаются в развертываниях на первой линии в первую очередь из-за высокой стоимости и усилий по управлению в контексте высокой текучести персонала.
2Развертывания устройств киоска не рекомендуется, так как они не разрешают аудит пользователей и возможности безопасности на основе пользователей, такие как многофакторная проверка подлинности.
Дополнительные сведения об устройствах киоска.
В этой статье мы сосредоточимся на общих устройствах и BYOD, так как эти модели развертывания соответствуют практическим потребностям большинства развертываний на переднем крае. Ознакомьтесь с обзором рекомендаций по планированию и возможностей управления.
Операционная система устройства
Выбранная модель развертывания частично определяет операционные системы устройств, которые вы поддерживаете. Например:
- При реализации модели общих устройств выбранная операционная система устройства определяет доступные возможности. Например, устройства Windows изначально поддерживают возможность хранения нескольких профилей пользователей для автоматического входа и простой проверки подлинности с помощью Windows Hello. В Android и iOS применяются дополнительные действия и предварительные требования.
- Если вы реализуете модель BYOD, вам потребуется поддержка устройств Android и iOS.
| Операционная система устройства | Рекомендации |
|---|---|
| Android |
Ограниченные собственные возможности для хранения нескольких профилей пользователей на устройствах. Устройства Android можно зарегистрировать в режиме общего устройства, чтобы автоматизировать единый вход и выход, а также использовать политики условного доступа. Надежное управление элементами управления и API. Существующая экосистема устройств, созданных для использования на переднем крае. |
| iOS и iPadOS | Устройства iOS можно зарегистрировать в режиме общего устройства, чтобы автоматизировать единый вход и выход. Хранение нескольких профилей пользователей на устройствах iPadOS возможно с помощью общего iPad для бизнеса. |
| Windows | Встроенная поддержка хранения нескольких профилей пользователей на устройстве. Поддерживает Windows Hello для проверки подлинности без пароля. Упрощенные возможности развертывания и управления при использовании с Microsoft Intune. |
Альбом устройств
При планировании развертывания устройства необходимо учитывать несколько областей. В этом разделе описывается ландшафт и термины, с которыми нужно ознакомиться.
Управление мобильными устройствами
Решения для управления мобильными устройствами (MDM), такие как Microsoft Intune, упрощают развертывание, управление и мониторинг устройств.
Устройство можно зарегистрировать только в одном решении MDM, но для управления отдельными пулами устройств можно использовать несколько решений MDM. Например, можно использовать VMware Workspace ONE или SOTI MobiControl для общих устройств и Intune для BYOD. Если вы используете несколько решений MDM, помните, что некоторые пользователи могут не иметь доступа к общим устройствам из-за несоответствия в политиках условного доступа или политиках управления мобильными приложениями (MAM).
Если вы используете стороннее решение MDM, вы можете интегрироваться с Intune соответствие партнерам, чтобы воспользоваться преимуществами условного доступа для устройств, управляемых сторонними решениями MDM.
Средства запуска приложений для устройств Android
Средство запуска приложений — это приложение, которое позволяет вам сосредоточиться на интерфейсе с помощью настраиваемого экрана запуска, например приложений, обоев и значков. Вы можете отображать только соответствующие приложения, которые должны использовать ваши сотрудники первой линии, и мини-приложения, которые выделяют ключевую информацию.
Большинство решений MDM предоставляют собственное средство запуска приложений. Например, Microsoft Intune предоставляет приложение Microsoft Управляемый главный экран. Вы также можете создать собственное пользовательское средство запуска.
В следующей таблице перечислены некоторые из наиболее распространенных средств запуска приложений, доступных сегодня для устройств Android корпорацией Майкрософт и сторонними разработчиками.
| Средство запуска приложений | Возможности |
|---|---|
| Microsoft Управляемый главный экран | Используйте Управляемый главный экран, если хотите, чтобы пользователи имели доступ к определенному набору приложений на выделенных устройствах, зарегистрированных Intune. Так как Управляемый главный экран может автоматически запускаться в качестве начального экрана по умолчанию на устройстве и отображается пользователю как единственный начальный экран, он полезен в сценариях с общими устройствами, когда требуется заблокированный интерфейс. Подробнее. |
| Средство запуска VMware Workspace ONE | Если вы используете VMware, средство запуска Workspace ONE — это средство для курировать набор приложений, к которым требуется доступ. VMware Workspace ONE Launcher в настоящее время не поддерживает режим общего устройства. Подробнее. |
| SOTI | Если вы используете SOTI, средство запуска приложений SOTI — это лучший инструмент для курировать набор приложений, к которым требуется доступ. Средство запуска приложений SOTI сегодня поддерживает режим общего устройства. |
| BlueFletch | BlueFletch Launcher можно использовать на устройствах, независимо от вашего решения MDM. BlueFletch сегодня поддерживает режим общего устройства. Подробнее. |
| Настраиваемое средство запуска приложений | Если вам нужен полностью настраиваемый интерфейс, можно создать собственное пользовательское средство запуска приложений. Вы можете интегрировать средство запуска с режимом общего устройства, чтобы пользователям нужно было войти и выйти только один раз. |
управление удостоверениями;
Microsoft 365 для сотрудников первой линии использует Microsoft Entra ID в качестве базовой службы удостоверений для доставки и защиты всех приложений и ресурсов. Пользователи должны иметь удостоверение, существующее в Microsoft Entra ID для доступа к приложениям Microsoft 365.
Если вы решили управлять удостоверениями пользователей с помощью доменные службы Active Directory (AD DS) или стороннего поставщика удостоверений, необходимо настроить федерацию этих удостоверений для Microsoft Entra ID. Узнайте, как интегрировать стороннюю службу с Microsoft Entra ID.
Возможные шаблоны реализации для управления удостоверениями переднего плана:
- Microsoft Entra автономном режиме. Ваша организация создает удостоверения пользователей, устройств и приложений и управляет ими в Microsoft Entra ID как автономное решение для удостоверений для рабочих нагрузок первой линии. Этот шаблон реализации рекомендуется использовать, так как он упрощает архитектуру развертывания на переднем крае и повышает производительность во время входа пользователя.
- интеграция доменные службы Active Directory (AD DS) с Microsoft Entra ID. Корпорация Майкрософт предоставляет Microsoft Entra Connect для присоединения к этим двум средам. Microsoft Entra Connect реплицирует учетные записи пользователей Active Directory в Microsoft Entra ID, что позволяет пользователю иметь одно удостоверение, способное получить доступ как к локальным, так и к облачным ресурсам. Хотя и AD DS, и Microsoft Entra ID могут существовать как независимые среды каталогов, можно создать гибридные каталоги.
- Синхронизация решения сторонних удостоверений с Microsoft Entra ID: Microsoft Entra ID поддерживает интеграцию со сторонними поставщиками удостоверений, такими как Okta и Ping Identity, через федерацию. Дополнительные сведения об использовании сторонних поставщиков удостоверений.
Подготовка пользователей на основе отдела кадров
Автоматизация подготовки пользователей — это практическая необходимость для организаций, которые хотят, чтобы сотрудники первой линии могли получать доступ к приложениям и ресурсам в первый день. С точки зрения безопасности также важно автоматизировать отзыв во время отключения сотрудников, чтобы предыдущие сотрудники не сохраняли доступ к ресурсам компании.
Microsoft Entra служба подготовки пользователей интегрируется с облачными и локальными приложениями отдела кадров, такими как Workday и SAP SuccessFactors. Вы можете настроить службу для автоматизации подготовки и отзыва пользователей при создании или отключении сотрудника в системе управления персоналом.
Дополнительные сведения см. в статьях
- Что такое подготовка на основе отдела кадров с помощью Microsoft Entra ID?
- Планирование автоматического развертывания подготовки пользователей для Microsoft Entra ID
Делегирование управления пользователями с помощью "Мои сотрудники"
С помощью функции "Мой персонал" в Microsoft Entra ID вы можете делегировать общие задачи управления пользователями руководителям с помощью портала "Мои сотрудники". Руководители первой линии могут сбрасывать пароли или управлять телефонными номерами сотрудников первой линии непосредственно из магазина или производственного цеха, не перенаправляя запросы в службу поддержки, операционный отдел или ИТ-отдел.
My Staff также позволяет руководителям первой линии, регистрировать телефонные номера участников своей группы для входа в систему с помощью SMS. Если в вашей организации включена проверка подлинности на основе SMS, сотрудники первой линии могут входить в Teams и другие приложения, используя только свои номера телефонов и одноразовый пароль, отправленный по SMS. Это делает вход для сотрудников первой линии простым и быстрым.
Режим общего устройства
С помощью функции режима общего устройства Microsoft Entra ID вы можете настроить устройства для совместного использования сотрудниками. Эта функция обеспечивает единый вход (SSO) и выход на уровне устройства для Teams и всех других приложений, поддерживающих режим общего устройства.
Вот как работает режим общего устройства на примере Teams. При входе в Teams в начале своей смены, сотрудники автоматически входят во все другие приложения, поддерживающие режим общего устройства на устройстве. Когда они выходят из Teams в конце смены, они выходят из всех других приложений, поддерживающих режим общего устройства. После выхода данные сотрудника и данные компании в Teams и во всех других приложениях, поддерживающих режим общего устройства, больше не будут доступны. Устройство готово для использования следующим сотрудником.
Эту возможность можно интегрировать в бизнес-приложения с помощью библиотеки проверки подлинности Майкрософт (MSAL).
Проверка подлинности
Функции проверки подлинности определяют, кто или что использует учетную запись для получения доступа к приложениям, данным и ресурсам.
Как упоминалось ранее, Microsoft 365 для сотрудников первой линии использует Microsoft Entra ID в качестве базовой службы удостоверений для защиты приложений и ресурсов Microsoft 365. Дополнительные сведения о проверке подлинности в Microsoft Entra ID см. в разделах Что такое проверка подлинности Microsoft Entra? и Какие методы проверки подлинности и проверки доступны в Microsoft Entra ID?.
Многофакторная проверка подлинности
Microsoft Entra многофакторной проверки подлинности (MFA) работает, требуя два или более из следующих методов проверки подлинности при входе:
- Что-то известно пользователю, обычно это пароль.
- Что-то, что имеет пользователь, например доверенное устройство, которое не легко дублировать, например телефон или аппаратный ключ.
- Что-то, что пользователь - биометрические данные, такие как отпечатки пальцев или сканирование лица.
MFA поддерживает несколько форм методов проверки, включая приложение Microsoft Authenticator, ключи FIDO2, SMS и голосовые вызовы.
MFA обеспечивает высокий уровень безопасности для приложений и данных, но создает трудности при входе пользователей. Для организаций, которые выбирают развертывания BYOD, MFA может быть практическим вариантом. Настоятельно рекомендуется, чтобы перед широким развертыванием бизнес-отделы и технические команды проверяли взаимодействие с пользователем с помощью MFA, чтобы можно было должным образом учитывать влияние на пользователей при управлении изменениями и подготовке к работе.
Если MFA нецелесообразно для вашей организации или модели развертывания, следует запланировать использование надежных политик условного доступа для снижения риска безопасности.
Проверка подлинности без пароля
Чтобы еще больше упростить доступ для сотрудников первой линии, можно использовать методы проверки подлинности без пароля, чтобы сотрудникам не нужно запоминать или вводить свои пароли. Методы проверки подлинности без пароля удаляют использование пароля при входе и заменяют его следующим:
- Что-то у пользователя, например телефон или ключ безопасности.
- Что-то, что пользователь знает или знает, например биометрия или ПИН-код.
Методы проверки подлинности без пароля также обычно более безопасны, и при необходимости многие из них могут удовлетворять требованиям MFA.
Прежде чем использовать метод проверки подлинности без пароля, определите, может ли он работать в существующей среде. Такие факторы, как стоимость, поддержка ОС, требования к личному устройству и поддержка MFA, могут повлиять на работу метода проверки подлинности в соответствии с вашими потребностями.
См. следующую таблицу, чтобы оценить методы проверки подлинности без пароля для вашего сценария первой линии.
| Метод | Поддержка ОС | Требуется личное устройство | Поддерживает многофакторную проверку подлинности |
|---|---|---|---|
| Microsoft Authenticator | Все | Да | Да |
| Вход в SMS | Android и iOS | Да | Нет |
| Windows Hello | Windows | Нет | Да |
| Ключ FIDO2 | Windows | Нет | Да |
Дополнительные сведения см. в разделах Параметры проверки подлинности без пароля для Microsoft Entra IDи Настройка и включение проверки подлинности на основе SMS с помощью Microsoft Entra ID.
Авторизация
Функции авторизации управляют тем, что пользователь, прошедший проверку подлинности, может делать или получать к ней доступ. В Microsoft 365 это достигается за счет сочетания политик условного доступа Microsoft Entra и политик защиты приложений.
Реализация надежных элементов управления авторизацией является критически важным компонентом защиты развертывания общих устройств переднего плана, особенно если невозможно реализовать надежные методы проверки подлинности, такие как MFA, из соображений затрат или практических целей.
Условный доступ Microsoft Entra
С помощью условного доступа можно создавать правила, ограничивающие доступ на основе следующих сигналов:
- Пользователь или членство в группе
- Сведения о расположении IP-адреса
- Устройство (доступно, только если устройство зарегистрировано в Microsoft Entra ID)
- Приложение
- Определение риска в реальном времени и расчет рисков
Политики условного доступа можно использовать для блокировки доступа, если пользователь находится на несоответствующее устройству или в ненадежной сети. Например, вы можете использовать условный доступ, чтобы запретить пользователям доступ к приложению инвентаризации, если они не находятся в рабочей сети или используют неуправляемое устройство, в зависимости от анализа применимых законов в вашей организации.
Для сценариев BYOD, в которых имеет смысл получать доступ к данным за пределами работы, например к информации, связанной с персоналом, управлению сменами, чату о сменах или приложениям, не связанным с бизнесом, вы можете реализовать более разрешительные политики условного доступа наряду с надежными методами проверки подлинности, такими как MFA.
Дополнительные сведения см. в документации по условному доступу Microsoft Entra.
Политики защиты приложений
С помощью управления мобильными приложениями (MAM) из Intune можно использовать политики защиты приложений с приложениями, интегрированными с пакетом SDK для Intune приложений. Это позволяет дополнительно защитить данные вашей организации в приложении.
С помощью политик защиты приложений можно добавить средства контроля доступа, такие как:
- Контролируйте обмен данными между приложениями.
- Предотвратите сохранение данных корпоративного приложения в расположении личного хранилища.
- Убедитесь, что операционная система устройства обновлена.
В развертывании общих устройств можно использовать политики защиты приложений, чтобы гарантировать, что данные не будут передаваться в приложения, которые не поддерживают режим общего устройства. В сценариях BYOD политики защиты приложений полезны, так как они позволяют защищать данные на уровне приложения без необходимости управлять всем устройством.
Ограничение доступа к Teams, когда сотрудники первой линии не работают в смену
С помощью функции рабочего времени можно использовать политики защиты приложений, чтобы ограничить доступ к Teams для сменных работников на BYOD или выделенных корпоративных устройствах. Эта функция позволяет блокировать доступ или отображать предупреждающее сообщение, когда сотрудники первой линии обращаются к Teams в нерабочее время.
Дополнительные сведения см. в статье Ограничение доступа к Teams, когда сотрудники первой линии работают вне смены.