Hantera enheter för medarbetare i frontlinjen
I alla branscher utgör medarbetare i frontlinjen en stor del av arbetsstyrkan. Arbetsroller i frontlinjen omfattar butiksmedarbetare, fabriksarbetare, fält- och servicetekniker, sjukvårdspersonal och många fler.
Översikt
Eftersom arbetsstyrkan till stor del är mobil och ofta skiftbaserad är det viktigt att hantera de enheter som medarbetare i frontlinjen använder. Några frågor att tänka på:
- Använder arbetare företagsägda enheter eller egna personliga enheter?
- Delas företagsägda enheter mellan arbetare eller tilldelas till en enskild person?
- Tar arbetare hem enheter eller lämnar de dem på arbetsplatsen?
Det är viktigt att ange en säker, kompatibel baslinje för att hantera enheter för din arbetsstyrka, oavsett om de är delade enheter eller arbetare äger enheter. Den här artikeln ger dig en översikt över vanliga scenarier och hanteringsfunktioner för medarbetare i frontlinjen som hjälper personalen att skydda företagets data.
Enhetstyper
Delade enheter, bring-your-own- och kioskenheter är de vanligaste enhetstyperna som används av medarbetare i frontlinjen.
| Enhetstyp | Beskrivning | Varför ska jag använda? | Distributionsöverväganden |
|---|---|---|---|
| Delade enheter | Enheter ägs och hanteras av din organisation. Anställda får åtkomst till enheter när de arbetar. | Arbetsproduktivitet och kundupplevelse har högsta prioritet. Arbetare kan inte komma åt organisationsresurser när de inte arbetar. Lokala lagar kan förhindra att personliga enheter används i affärssyfte. |
Inloggning/utloggning kan öka friktionen i arbetsupplevelsen. Potential för oavsiktlig delning av känsliga data. |
| BYOD (Bring Your Own Devices) | Personliga enheter ägs av användaren och hanteras av din organisation. | Din befintliga MDM-lösning (hantering av mobila enheter) förhindrar att din organisation inför en modell för delade enheter. Delade enheter eller dedikerade enheter kan vara opraktiska ur ett kostnads- eller affärsberedskapsperspektiv. |
Supportkomplexitet kanske inte är möjligt på fältplatser. Personliga enheter varierar i operativsystem, lagring och anslutning. Vissa arbetare kanske inte har tillförlitlig åtkomst till en personlig mobil enhet. Du kan ådra dig potentiellt ansvar för löner om arbetstagarna får tillgång till resurser utan att klockas in. Personlig enhetsanvändning kan strida mot fackliga regler eller myndighetsregler. |
| Kioskenheter | Enheter ägs och hanteras av din organisation. Användarna behöver inte logga in eller ut. | Enheten har ett särskilt syfte. Användningsfallet kräver inte användarautentisering. |
Samarbets-, kommunikations-, uppgifts- och arbetsflödesprogram behöver en användaridentitet för att fungera. Det går inte att granska användaraktiviteten. Det går inte att använda vissa säkerhetsfunktioner, inklusive multifaktorautentisering. |
Delade enheter och BYOD används ofta i frontlinjedistributioner. Du kan använda funktioner som beskrivs i efterföljande avsnitt i den här artikeln kan lösa eller minska organisationens oro över användarupplevelsen, obehörig arbetsåtkomst till data och resurser samt möjligheten att distribuera och hantera enheter i stor skala.
Obs!
Distributioner av kioskenheter rekommenderas inte eftersom de inte tillåter användargranskning och användarbaserade säkerhetsfunktioner som multifaktorautentisering. Läs mer om kioskenheter.
Delade enheter
Många medarbetare i frontlinjen använder delade mobila enheter för att utföra arbete. Delade enheter är företagsägda enheter som delas mellan anställda mellan uppgifter, arbetspass eller platser.
Här är ett exempel på ett typiskt scenario. En organisation har en pool med enheter som debiterar hållare som ska delas mellan alla anställda. I början av ett arbetspass hämtar en anställd en enhet från poolen och loggar in på Teams och andra företagsappar som är viktiga för deras roll. I slutet av arbetspasset loggar de ut och returnerar enheten till poolen. Även inom samma arbetspass kan en arbetare returnera en enhet när de slutför en uppgift eller stämpla ut på lunch och sedan hämta en annan när de stämplar in igen.
Delade enheter utgör unika säkerhetsutmaningar. Anställda kan till exempel ha åtkomst till företags- eller kunddata som inte ska vara tillgängliga för andra på samma enhet.
Personliga enheter (BYOD)
Vissa organisationer använder en BYOD-modell (Bring Your Own Device) där medarbetare i frontlinjen använder sina egna mobila enheter för att få åtkomst till Teams och andra företagsappar. Här är en översikt över några sätt att hantera åtkomst och efterlevnad på personliga enheter.
Enhetens operativsystem
Den distributionsmodell som du väljer avgör delvis vilka enhetsoperativsystem du stöder. Om du till exempel implementerar en BYOD-modell måste du ha stöd för både Android- och iOS-enheter. Om du implementerar en modell för delade enheter avgör det enhetsoperativsystem som du väljer vilka funktioner som är tillgängliga. Windows-enheter har till exempel inbyggt stöd för möjligheten att lagra flera användarprofiler för automatisk inloggning och enkel autentisering med Windows Hello. Med Android och iOS gäller fler steg och förutsättningar.
| Enhetsoperativsystem | Överväganden |
|---|---|
| Windows | Internt stöd för lagring av flera användarprofiler på enheten. Stöder Windows Hello för lösenordsfri autentisering. Förenklade distributions- och hanteringsfunktioner när de används med Microsoft Intune. |
| Android | Begränsade interna funktioner för lagring av flera användarprofiler på enheter. Android-enheter kan registreras i läget för delad enhet för att automatisera enkel inloggning och utloggning. Robust hantering av kontroller och API:er. Befintligt ekosystem med enheter som skapats för användning i frontlinjen. |
| iOS och iPadOS | iOS-enheter kan registreras i läget för delad enhet för att automatisera enkel inloggning och utloggning. Det går att lagra flera användarprofiler på iPadOS-enheter med delad iPad för företag. Villkorlig åtkomst är inte tillgänglig med delad iPad för företag på grund av hur Apple partitioner användarprofiler. |
I en distribution av delade enheter är möjligheten att lagra flera användarprofiler på en enhet för att förenkla användarinloggningen och möjligheten att rensa appdata från den tidigare användaren (enkel utloggning) praktiska krav för frontlinjedistributioner. Dessa funktioner är inbyggda på Windows-enheter och iPad-enheter med delad iPad för företag.
Användaridentitet
Microsoft 365 for frontline workers använder Microsoft Entra ID som underliggande identitetstjänst för att leverera och skydda alla program och resurser. Användare måste ha en identitet som finns i Microsoft Entra-ID för att få åtkomst till Microsoft 365-molnprogram.
Om du väljer att hantera användaridentiteter i frontlinjen med Active Directory Domain Services (AD DS) eller en identitetsprovider från tredje part måste du federera dessa identiteter för att Microsoft Entra ID. Lär dig hur du integrerar din tredjepartstjänst med Microsoft Entra-ID.
Möjliga implementeringsmönster för att hantera identiteter i frontlinjen är:
- Microsoft Entra fristående: Din organisation skapar och hanterar användar-, enhets- och programidentiteter i Microsoft Entra-ID som en fristående identitetslösning för dina arbetsbelastningar i frontlinjen. Det här implementeringsmönstret rekommenderas eftersom det förenklar distributionsarkitekturen i frontlinjen och maximerar prestanda vid användarinloggning.
- Active Directory Domain Services (AD DS) integrering med Microsoft Entra-ID: Microsoft tillhandahåller Microsoft Entra Connect för att ansluta till dessa två miljöer. Microsoft Entra Connect replikerar AD-användarkonton till Microsoft Entra-ID, vilket gör att en användare kan ha en enda identitet som kan komma åt både lokala och molnbaserade resurser. Även om både AD DS och Microsoft Entra ID kan finnas som oberoende katalogmiljöer kan du välja att skapa hybridkataloger.
- Synkronisering av identitetslösning från tredje part med Microsoft Entra-ID: Microsoft Entra ID stöder integrering med identitetsprovidrar från tredje part som Okta och Ping Identity via federation. Läs mer om hur du använder identitetsprovidrar från tredje part.
HR-driven användaretablering
Att automatisera användaretablering är ett praktiskt behov för organisationer som vill att medarbetare i frontlinjen ska kunna komma åt program och resurser dag ett. Ur ett säkerhetsperspektiv är det också viktigt att automatisera avetablering vid avetablering av anställda för att säkerställa att tidigare anställda inte behåller åtkomsten till företagets resurser.
Microsoft Entra användaretableringstjänsten integreras med molnbaserade och lokala HR-program, till exempel Workday och SAP SuccessFactors. Du kan konfigurera tjänsten för att automatisera användaretablering och avetablering när en anställd skapas eller inaktiveras i HR-systemet.
Personal
Med funktionen Min personal i Microsoft Entra ID kan du delegera vanliga användarhanteringsuppgifter till chefer i frontlinjen via portalen Min personal. Chefer i frontlinjen kan utföra lösenordsåterställning eller hantera telefonnummer för medarbetare i frontlinjen direkt från butiken eller fabriksgolvet, utan att behöva dirigera förfrågningarna till supportavdelningen, driften eller IT-avdelningen.
Min personal gör det också möjligt för chefer i frontlinjen att registrera sina teammedlemmars telefonnummer för SMS-inloggning. Om SMS-baserad autentisering är aktiverat i din organisation kan medarbetare i frontlinjen logga in på Teams och andra appar med endast sina telefonnummer och ett engångslösenord som skickas via SMS. Det gör det enkelt, säkert och snabbt att logga in för medarbetare i frontlinjen.
Hantering av mobilenheter
MDM-lösningar (Hantering av mobila enheter) kan förenkla distribution, hantering och övervakning av enheter. Microsoft Intune har inbyggt stöd för funktioner som är viktiga för att distribuera delade enheter till medarbetare i frontlinjen. Dessa funktioner omfattar:
- Zero-touch-etablering: IT-administratörer kan registrera och förkonfigurera mobila enheter utan fysisk lagring av enheterna (för manuell konfiguration). Den här funktionen är användbar när du distribuerar delade enheter i stor skala till fältplatser eftersom enheter kan levereras direkt till den avsedda frontlinjeplatsen där automatiserade konfigurations- och etableringssteg kan utföras via fjärranslutning.
- Enkel utloggning: Stoppar bakgrundsprocesser och automatiserar utloggning av användare i alla program och resurser som tilldelats den tidigare användaren när en ny användare loggar in. Android- och iOS-enheter måste vara registrerade i läget för delad enhet för att använda enkel utloggning.
- Microsoft Entra villkorlig åtkomst: IT-administratörer kan implementera automatiserade beslut om åtkomstkontroll för molnbaserade program och resurser via identitetsdrivna signaler. Det är till exempel möjligt att förhindra åtkomst av en delad enhet eller BYOD-enhet som inte har de senaste säkerhetsuppdateringarna installerade. Läs mer om hur du skyddar distributionen.
Om du använder en MDM-lösning från tredje part för distributionen av delade enheter, till exempel VMwares Workspace ONE eller SOTI MobiControl, är det viktigt att förstå tillhörande funktioner, begränsningar och tillgängliga lösningar.
Vissa MDM:er från tredje part kan rensa appdata när en global utloggning sker på en Android-enhet. Rensning av appdata kan dock missa data som lagras på en delad plats, ta bort appinställningar eller orsaka att första körningsupplevelser visas igen. Android-enheter som registrerats i läget för delad enhet kan selektivt rensa nödvändiga programdata under enhetsincheckningen eller när den nya användaren loggar in på enheten. Läs mer om autentisering i läget för delad enhet.
Du kan manuellt konfigurera läget för delad enhet i MDM-lösningar från tredje part för iOS- och Android-enheter, men manuella konfigurationssteg markerar inte enheten som kompatibel i Microsoft Entra-ID, vilket innebär att villkorlig åtkomst inte stöds i det här scenariot. Om du väljer att manuellt konfigurera enheter i läget för delad enhet måste du vidta ytterligare åtgärder för att omregistrera Android-enheter i läget för delad enhet med nolltouch-etablering för att få stöd för villkorlig åtkomst när MDM-support från tredje part är tillgängligt genom att avinstallera och installera om Authenticator från enheten.
En enhet kan bara registreras i en MDM-lösning, men du kan använda flera MDM-lösningar för att hantera separata enhetspooler. Du kan till exempel använda Workspace ONE för delade enheter och Intune för BYOD. Om du använder flera MDM-lösningar bör du tänka på att vissa användare kanske inte kan komma åt delade enheter på grund av ett matchningsfel i principer för villkorlig åtkomst.
| MDM-lösning | Enkel utloggning | Zero Touch-etablering | Microsoft Entra villkorlig åtkomst |
|---|---|---|---|
| Intune (Microsoft) | Stöds för Android- och iOS-enheter som registrerats i läget för delad enhet | Stöds för Android- och iOS-enheter som registrerats i läget för delad enhet | Stöds för Android- och iOS-enheter som registrerats i läget för delad enhet |
| Workspace ONE (VMware) | Stöds med Clear Android-appdatafunktioner . Ej tillgänglig för iOS | För närvarande inte tillgänglig för Android och iOS. | För närvarande inte tillgänglig för Android och iOS. |
| MobiControl (SOTI) | Stöds med funktioner för rensning av programdata . Ej tillgänglig för iOS. | För närvarande inte tillgänglig för Android och iOS. | För närvarande inte tillgänglig för Android och iOS. |
Windows-enheter som har registrerats i Intune stöder enkel utloggning, zero touch-etablering och Microsoft Entra villkorlig åtkomst. Du behöver inte konfigurera läget för delad enhet på Windows-enheter.
Intune rekommenderas för BYOD-scenarier eftersom det ger bästa möjliga support och funktioner för olika enhetstyper.
Registrera personliga Android- och iOS-enheter
Förutom dina företagsägda enheter kan du registrera användarnas personligt ägda enheter i hanteringen i Intune. För BYOD-registrering lägger du till enhetsanvändare i Microsoft Intune administrationscenter, konfigurerar deras registreringsupplevelse och konfigurerar Intune-principer. Användarna slutför registreringen själva i Intune-företagsportal-appen som är installerad på deras enhet.
I vissa fall kan användare vara tveksamma till att registrera sina personliga enheter i hanteringen. Om enhetsregistrering inte är ett alternativ kan du välja en MAM-metod (hantering av mobilprogram) och använda appskyddsprinciper för att hantera appar som innehåller företagsdata. Du kan till exempel tillämpa appskyddsprinciper på Teams- och Office-mobilappar för att förhindra att företagsdata kopieras till personliga appar på enheten.
Mer information finns i"Personliga enheter jämfört med organisationsägda enheter" i Intune-planeringsguiden och distributionsvägledningen: Registrera enheter i Microsoft Intune.
Autentisering
Autentiseringsfunktioner styr vem eller vad som använder ett konto för att få åtkomst till program, data och resurser. Organisationer som distribuerar delade enheter till medarbetare i frontlinjen behöver autentiseringskontroller som inte hindrar arbetsproduktiviteten samtidigt som obehörig eller oavsiktlig åtkomst till program och data förhindras när enheter överförs mellan autentiserade användare.
Microsofts frontlinjelösning levereras från molnet och använder Microsoft Entra ID som den underliggande identitetstjänsten för att skydda Microsoft 365-program och -resurser. Dessa autentiseringsfunktioner i Microsoft Entra ID tar upp de unika övervägandena för distributioner av delade enheter: automatisk enkel inloggning, enkel utloggning och andra starka autentiseringsmetoder.
Läget Delad enhet
Läget delad enhet är en funktion i Microsoft Entra ID som gör att du kan konfigurera enheter som ska delas av anställda. Den här funktionen möjliggör enkel inloggning (SSO) och enhetsomfattande utloggning för Microsoft Teams och alla andra appar som stöder läget för delad enhet. Du kan integrera den här funktionen i dina verksamhetsspecifika appar (LOB) med hjälp av Microsoft Authentication Library (MSAL). När en enhet är i läget för delad enhet kan program som använder Microsoft Authentication Library (MSAL) identifiera att de körs på en delad enhet och avgöra vem den aktuella aktiva användaren är. Med den här informationen kan program utföra dessa autentiseringskontroller:
- Automatisk enkel inloggning: Om en användare redan har loggat in på ett annat MSAL-program loggas användaren in i alla program som är kompatibla med läget för delad enhet. Detta är en förbättring av den tidigare funktionen för enkel inloggning eftersom det ytterligare minskar den tid det tar att komma åt program efter att ha loggat in i det första programmet genom att ta bort behovet av att en användare väljer ett konto som tidigare loggats in.
- Enkel utloggning: När en användare loggar ut från en app med MSAL kan alla andra program som är integrerade med läget för delad enhet stoppa bakgrundsprocesser och påbörja utloggning av datarensningsprocesser för att förhindra obehörig eller oavsiktlig åtkomst av nästa användare.
Så här fungerar läget för delad enhet med Teams som exempel. När en anställd loggar in på Teams i början av sitt arbetspass loggas de automatiskt in på alla andra appar som stöder läget för delad enhet på enheten. När de loggar ut från Teams i slutet av sitt arbetspass loggas de ut globalt från alla andra appar som stöder läget för delad enhet. Efter utloggningen kan medarbetarens data och företagsdata i Teams (inklusive appar som finns i den) och i alla andra appar som stöder läget för delad enhet inte längre nås. Enheten är redo för nästa medarbetare och kan överlämnas på ett säkert sätt.
Läget för delad enhet är en förbättring av funktionen för att rensa appdata för Android eftersom det gör det möjligt för programutvecklare att selektivt rensa personliga användardata utan att påverka appinställningar eller cachelagrade data. Med läget för delad enhet tas flaggorna som gör att ett program kan komma ihåg om en första körningsupplevelse visas inte bort så att användarna inte ser en första körningsupplevelse varje gång de loggar in.
Läget delad enhet gör också att en enhet kan registreras i Microsoft Entra-ID en gång för alla användare så att du enkelt kan skapa profiler som skyddar app- och dataanvändningen på den delade enheten. På så sätt kan du stödja villkorlig åtkomst utan att behöva registrera enheten på nytt varje gång en ny användare autentiserar till enheten.
Du använder en MDM-lösning (hantering av mobila enheter) som Microsoft Intune eller Microsoft Configuration Manager för att förbereda en enhet som ska delas genom att installera Microsoft Authenticator-appen och aktivera delat läge. Teams och alla andra appar som stöder delat enhetsläge använder inställningen för delat läge för att hantera användare på enheten. Den MDM-lösning som du använder bör också utföra en enhetsrensning när du loggar ut.
Obs!
Läget delad enhet är inte en fullständig lösning för dataförlustskydd. Läget för delad enhet bör användas tillsammans med PRINCIPER för Microsoft Application Manager (MAM) för att säkerställa att data inte läcker till områden på enheten som inte använder läget för delad enhet (t.ex. lokal fillagring).
Förutsättningar och överväganden
Du måste uppfylla följande krav för att använda läget för delad enhet.
- Microsoft Authenticator måste vara installerat på enheten.
- Enheten måste vara registrerad i läget för delad enhet.
- Alla program som behöver dessa fördelar måste integreras med API:erna för delat enhetsläge i MSAL.
MAM-principer krävs för att förhindra att data flyttas från program som är aktiverade för delat enhetsläge till icke-delade enhetslägesaktiverade program.
För närvarande är zero-touch-etablering av delat enhetsläge endast tillgängligt med Intune. Om du använder en MDM-lösning från tredje part måste enheterna registreras i läget för delad enhet med hjälp av de manuella konfigurationsstegen.
Obs!
Villkorlig åtkomst stöds inte fullt ut för enheter som konfigureras manuellt.
Vissa Microsoft 365-program stöder för närvarande inte läget för delad enhet. Tabellen nedan sammanfattar vad som är tillgängligt. Om programmet du behöver saknar integrering av delat enhetsläge rekommenderar vi att du kör en webbaserad version av ditt program i Microsoft Teams eller Microsoft Edge för att få fördelarna med läget för delad enhet.
Läget för delad enhet stöds för närvarande på Android-enheter. Här är några resurser för att hjälpa dig att komma igång.
Registrera Android-enheter i läget för delad enhet
För att hantera och registrera Android-enheter i delat enhetsläge med Intune måste enheterna köra Android OS version 8.0 eller senare och ha Google Mobile Services-anslutning (GMS). Mer information finns i:
- Konfigurera Intune registrering för dedikerade Android Enterprise-enheter
- Registrera dedikerade Android Enterprise-enheter i Microsoft Entra läget för delad enhet
Du kan också välja att distribuera Microsoft Managed Home Screen-appen för att skräddarsy upplevelsen för användare på deras Intune-registrerade Dedikerade Android-enheter. Den hanterade startskärmen fungerar som ett startprogram för andra godkända appar som kan köras ovanpå den, och du kan anpassa enheter och begränsa vad anställda kan komma åt. Du kan till exempel definiera hur appar visas på startskärmen, lägga till din företagslogotyp, ange anpassade bakgrundsbilder och låta anställda ange en PIN-kod för sessionen. Du kan till och med konfigurera utloggning så att den sker automatiskt efter en angiven inaktivitetsperiod. Mer information finns i:
- Konfigurera Microsoft Managed Home Screen-appen för Android Enterprise
- Så här konfigurerar du Microsoft Hanterad startskärm på dedikerade enheter i helskärmsläge för flera appar
För utvecklare som skapar appar för läget för delad enhet
Om du är utvecklare kan du läsa följande resurser för mer information om hur du integrerar din app med läget för delad enhet:
Multifaktorautentisering
Microsoft Entra ID stöder flera former av multifaktorautentisering med Authenticator-appen, FIDO2-nycklar, SMS, röstsamtal med mera.
På grund av högre kostnader och juridiska begränsningar kanske de säkraste autentiseringsmetoderna inte är praktiska för många organisationer. Till exempel anses FIDO2-säkerhetsnycklar vanligtvis vara för dyra, biometriska verktyg som Windows Hello kan köras mot befintliga regler eller fackliga regler, och SMS-inloggning kanske inte är möjligt om medarbetare i frontlinjen inte får ta sina personliga enheter till jobbet.
multifaktorautentisering ger en hög säkerhetsnivå för program och data, men ger kontinuerlig friktion vid användarinloggning. För organisationer som väljer BYOD-distributioner kan multifaktorautentisering vara ett praktiskt alternativ. Vi rekommenderar starkt att affärsteam och tekniska team validerar användarupplevelsen med multifaktorautentisering före bred distribution så att användarnas påverkan kan beaktas korrekt i arbetet med ändringshantering och beredskap.
Om multifaktorautentisering inte är möjligt för din organisation eller distributionsmodell bör du planera att använda robusta principer för villkorlig åtkomst för att minska säkerhetsrisken.
Lösenordsfri autentisering
För att ytterligare förenkla åtkomsten för personalen i frontlinjen kan du använda lösenordslösa autentiseringsmetoder så att arbetstagarna inte behöver komma ihåg eller skriva in sina lösenord. Lösenordsfria autentiseringsmetoder är också vanligtvis säkrare och många kan uppfylla MFA-kraven om det behövs.
Innan du fortsätter med en lösenordsfri autentiseringsmetod måste du avgöra om den kan fungera i din befintliga miljö. Överväganden som kostnad, os-support, krav på personlig enhet och MFA-stöd kan påverka om en autentiseringsmetod skulle fungera för dina behov. Till exempel anses FIDO2-säkerhetsnycklar för närvarande vara för dyra, och SMS- och Authenticator-inloggning kanske inte är möjligt om medarbetare i frontlinjen inte får ta sina personliga enheter till jobbet.
Se tabellen för att utvärdera lösenordslösa autentiseringsmetoder för ditt scenario i frontlinjen.
| Metod | Os-stöd | Kräver personlig enhet | Stöder multifaktorautentisering |
|---|---|---|---|
| SMS-inloggning | Android och iOS | Ja | Nej |
| Windows Hello | Windows | Nej | Ja |
| Microsoft Authenticator | Alla | Ja | Ja |
| FIDO2-nyckel | Windows | Nej | Ja |
Om du distribuerar med delade enheter och tidigare lösenordslösa alternativ inte är möjliga kan du välja att inaktivera starka lösenordskrav så att användarna kan tillhandahålla enklare lösenord när de loggar in på hanterade enheter. Om du väljer att inaktivera starka lösenordskrav bör du överväga att lägga till dessa strategier i implementeringsplanen.
- Inaktivera endast starka lösenordskrav för användare av delade enheter.
- Skapa en princip för villkorlig åtkomst som hindrar dessa användare från att logga in på icke-delade enheter i icke-betrodda nätverk.
Tillstånd
Auktoriseringsfunktioner styr vad en autentiserad användare kan göra eller komma åt. I Microsoft 365 uppnås detta genom en kombination av Microsoft Entra principer för villkorsstyrd åtkomst och principer för programskydd.
Att implementera robusta auktoriseringskontroller är en viktig del av att skydda en distribution av delade enheter i frontlinjen, särskilt om det inte går att implementera starka autentiseringsmetoder som multifaktorautentisering (MFA) av kostnads- eller praktiska skäl.
Microsoft Entra villkorlig åtkomst
Med villkorlig åtkomst kan du skapa regler som begränsar åtkomsten baserat på följande signaler:
- Användar- eller gruppmedlemskap
- Information om IP-plats
- Enhet (endast tillgänglig om enheten har registrerats i Microsoft Entra-ID)
- Program
- Realtid och beräknad riskidentifiering
Principer för villkorlig åtkomst kan användas för att blockera åtkomst när en användare är på en icke-kompatibel enhet eller när de är i ett ej betrott nätverk. Du kanske till exempel vill använda villkorlig åtkomst för att förhindra användare från att komma åt ett inventeringsprogram när de inte är i arbetsnätverket eller använder en ohanterad enhet, beroende på organisationens analys av tillämpliga lagar.
För BYOD-scenarier där det är klokt att komma åt data utanför arbetet, till exempel HR-relaterad information eller icke-affärsrelaterade program, kan du välja att implementera mer tillåtande principer för villkorlig åtkomst tillsammans med starka autentiseringsmetoder som multifaktorautentisering.
Villkorlig åtkomst stöds för:
- Delade Windows-enheter som hanteras i Intune.
- Delade Android- och iOS-enheter som registrerats i läget för delad enhet med zero-touch-etablering.
- BYOD för Windows, Android och iOS som hanteras med Intune eller MDM-lösningar från tredje part.
Villkorlig åtkomst stöds inte för:
- Enheter som konfigurerats manuellt med delat enhetsläge, inklusive Android- och iOS-enheter som hanteras med MDM-lösningar från tredje part.
- iPad-enheter som använder delad iPad för företag.
Obs!
Villkorlig åtkomst för Android-enheter som hanteras med utvalda MDM-lösningar från tredje part kommer snart.
Mer information om villkorlig åtkomst finns i dokumentationen om Microsoft Entra villkorsstyrd åtkomst.
Appskydd principer
Med MAM från Intune kan du använda appskyddsprinciper (APP) med program som har integrerats med Intunes APP SDK. På så sätt kan du ytterligare skydda organisationens data i ett program.
Med appskyddsprinciper kan du lägga till skydd för åtkomstkontroll, till exempel:
- Kräv en PIN-kod för att öppna en app i en arbetskontext.
- Kontrollera delning av data mellan program
- Förhindra att företagets appdata sparas på en personlig lagringsplats
- Kontrollera att enhetens operativsystem är uppdaterat
Du kan också använda API:er för att säkerställa att data inte läcker till program som inte stöder läget för delad enhet. För att förhindra dataförlust måste följande API:er vara aktiverade på delade enheter:
- Inaktivera program som är aktiverade för kopiering/inklistring i icke-delat enhetsläge.
- Inaktivera sparande av lokal fil.
- Inaktivera funktioner för dataöverföring till icke-delade enhetslägesaktiverade program.
API:er är användbara i BYOD-scenarier eftersom de gör att du kan skydda dina data på appnivå utan att behöva hantera hela enheten. Detta är viktigt i scenarier där anställda kan ha en enhet som hanteras av en annan klientorganisation (till exempel ett universitet eller en annan arbetsgivare) och inte kan hanteras av ett annat företag.
Programhantering
Distributionsplanen bör innehålla en inventering och utvärdering av de program som medarbetare i frontlinjen behöver för att utföra sitt arbete. Det här avsnittet beskriver överväganden och nödvändiga steg för att säkerställa att användarna har åtkomst till nödvändiga program och att upplevelsen är optimerad i samband med din implementering i frontlinjen.
I den här utvärderingen kategoriseras programmen i tre grupper:
- Microsoft-program skapas och stöds av Microsoft. Microsoft-program stöder Microsoft Entra ID och integrerar med Intunes APP SDK. Alla Microsoft-program stöds dock inte i läget för delad enhet. [Se en lista över program och tillgänglighet som stöds.] (autentiseringsbokmärke)
- Tredjepartsprogram skapas och säljs kommersiellt av en tredjepartsleverantör. Vissa program stöder inte Microsoft Entra-ID, Intunes APP SDK eller läget för delad enhet. Kontakta programleverantören och ditt Microsoft-kontoteam för att bekräfta vad användarupplevelsen kommer att bli.
- Anpassade verksamhetsspecifika program utvecklas av din organisation för att uppfylla interna affärsbehov. Om du skapar program med Power Apps aktiveras din app automatiskt med Microsoft Entra-ID, Intune och delat enhetsläge.
De program som användare i frontlinjen har åtkomst till uppfyller dessa krav (i förekommande fall) för att global enkel inloggning och enkel utloggning ska aktiveras.
- Integrera anpassade program och program från tredje part med MSAL: Användare kan autentisera till dina program med hjälp av Microsoft Entra ID, aktivera SSO och principer för villkorlig åtkomst kan tillämpas.
- Integrera program med läget för delad enhet (gäller endast för delade Android- eller iOS-enheter): Program kan använda nödvändiga API:er för delat enhetsläge i MSAL för att utföra automatisk enkel inloggning och enkel utloggning. Med hjälp av dessa API:er kan du integrera med läget för delad enhet. Detta är inte nödvändigt om du kör ditt program i Teams, Microsoft Edge eller PowerApps.
- Integrera med Intunes APP SDK (gäller endast delade Android- eller iOS-enheter): Program kan hanteras i Intune för att förhindra oavsiktlig eller obehörig dataexponering. Detta är inte nödvändigt om din MDM utför appdata rensar som rensar känsliga data under enhetsincheckningsflöden (enkel utloggning).
När du har verifierat dina program kan du distribuera dem till hanterade enheter med din MDM-lösning. På så sätt kan du förinstallera alla nödvändiga program under enhetsregistreringen så att användarna får allt de behöver dag ett.
Appstartare för Android-enheter
På Android-enheter är det bästa sättet att ge en fokuserad upplevelse så snart en anställd öppnar en enhet att tillhandahålla en anpassad startskärm. Med en anpassad startskärm kan du bara visa de relevanta program som en anställd behöver använda och widgetar som visar viktig information.
De flesta MDM-lösningar tillhandahåller en egen appstartare som kan användas. Microsoft tillhandahåller till exempel Hanterad hemskärm. Om du vill skapa en egen anpassad appstart för delade enheter måste du integrera den med läget för delad enhet så att enkel inloggning och enkel inloggning fungerar på dina enheter. I följande tabell visas några av de vanligaste appstartarna som är tillgängliga idag av Microsoft och utvecklare från tredje part.
| Appstartsprogram | Kapaciteter |
|---|---|
| Hanterad hemskärm | Använd Hanterad hemskärm när du vill att slutanvändarna ska ha åtkomst till en specifik uppsättning program på dina Intune-registrerade dedikerade enheter. Eftersom Hanterad hemskärm automatiskt kan startas som standardstartskärm på enheten och visas för slutanvändaren som den enda startskärmen är det användbart i scenarier med delade enheter när en låst miljö krävs. |
| Microsoft Launcher | Med Microsoft Launcher kan användarna anpassa sin telefon, hålla sig organiserade när de är på språng och överföra arbete från sin telefon till datorn. Microsoft Launcher skiljer sig från Hanterad hemskärm eftersom det ger slutanvändaren åtkomst till deras standardstartskärm. Microsoft Launcher är därför användbart i BYOD-scenarier. |
| VMware Workspace ONE Launcher | För kunder som använder VMware är Workspace ONE Launcher det bästa verktyget för att kurera en uppsättning program som personalen i frontlinjen behöver åtkomst till. Utloggningsalternativet från det här startprogrammet är också det som aktiverar Android App Data Clear för enkel utloggning på VMware-enheter. VMware Workspace ONE Launcher stöder för närvarande inte läget för delad enhet. |
| Startprogram för anpassad app | Om du vill ha en helt anpassad upplevelse kan du skapa en egen anpassad appstartare. Du kan integrera startprogrammet med läget för delad enhet så att användarna bara behöver logga in och ut en gång. |
Relaterade artiklar
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för