Översikt över enhetshantering för medarbetare i frontlinjen
Översikt
I alla branscher utgör medarbetare i frontlinjen en stor del av arbetsstyrkan. Arbetsroller i frontlinjen omfattar butiksmedarbetare, fabriksarbetare, fält- och servicetekniker, sjukvårdspersonal och många fler.
Eftersom arbetsstyrkan till stor del är mobil och ofta skiftbaserad är det viktigt att hantera de enheter som medarbetare i frontlinjen använder. Några frågor att tänka på:
- Använder arbetare företagsägda enheter eller egna personliga enheter?
- Delas företagsägda enheter mellan arbetare eller tilldelas till en enskild person?
- Tar arbetare hem enheter eller lämnar de dem på arbetsplatsen?
Det är viktigt att ange en säker, kompatibel baslinje för att hantera enheter för din arbetsstyrka, oavsett om de är delade enheter eller arbetare äger enheter.
Den här artikeln ger dig en översikt över vanliga scenarier och hanteringsfunktioner för medarbetare i frontlinjen som hjälper personalen att skydda företagets data. Använd informationen och övervägandena för att planera enhetsdistributionen i frontlinjen.
Enhetsdistribution
Ett viktigt steg i planeringen är att avgöra hur du ska distribuera mobila enheter till din frontlinje och de operativsystem som ska stödjas. Fatta dessa beslut i förväg så att du kan utvärdera genomförbarheten av din implementeringsplan och IT-infrastruktur med dessa faktorer i åtanke.
Distributionsmodeller
Delade enheter och BYOD (Bring Your Own Device) är de vanligaste enhetstyperna som används i organisationer i frontlinjen. I följande tabell visas dessa distributionsmodeller, tillsammans med andra, och relaterade överväganden.
| Enhetstyp | Beskrivning | Varför använda | Distributionsöverväganden |
|---|---|---|---|
| Delade enheter | Enheter som ägs och hanteras av din organisation. Anställda får åtkomst till enheter när de arbetar. |
Arbetsproduktivitet och kundupplevelse har högsta prioritet. Arbetare kan inte komma åt organisationsresurser när de inte arbetar. Lokala lagar kan förhindra att personliga enheter används i affärssyfte. |
Definiera hur din frontlinje loggar in och ut från enheten. Överväg att använda principer för villkorsstyrd åtkomst i Microsoft Entra för att skydda delade enheter när multifaktorautentisering (MFA) inte är ett alternativ. |
| BYOD (Bring Your Own Device) | Personliga enheter som ägs av användaren och hanteras av din organisation. | Du vill ge anställda ett bekvämt sätt att kontrollera skiftscheman, chatta med kollegor om skiftbyten eller få åtkomst till HR-resurser som deras paystub. Delade enheter eller dedikerade enheter kan vara opraktiska ur ett kostnads- eller affärsberedskapsperspektiv. |
Personliga enheter varierar i operativsystem, lagring och anslutning. Personlig enhetsanvändning kan strida mot fackliga regler eller myndighetsregler. Vissa arbetare kanske inte har tillförlitlig åtkomst till en personlig mobil enhet. |
| Dedikerade enheter1 | Enheter som ägs och hanteras av din organisation och utfärdas till en enskild användare. | Arbetaren kräver ett dedikerat telefonnummer för att ta emot samtal och sms. Organisationen kräver fullständig kontroll över enheten och hur anställda använder den. |
Kostnaden för dedikerad maskinvara. Det kanske inte går att lägga till arbete för distribution och supportkomplexitet på fältplatser. |
| Kioskenheter2 | Enheter som ägs och hanteras av din organisation. Användarna behöver inte logga in eller ut. | Enheten har ett särskilt syfte. Användningsfallet kräver inte användarautentisering. |
Samarbets-, kommunikations-, uppgifts- och arbetsflödesappar behöver en användaridentitet för att fungera. Det går inte att granska användaraktiviteten. Det går inte att använda vissa säkerhetsfunktioner, inklusive MFA. |
1Dedikerade enheter är ovanliga i frontlinjedistributioner främst på grund av höga kostnader och arbete att hantera i samband med hög personalomsättning.
2Distributioner av kioskenheter rekommenderas inte eftersom de inte tillåter användargranskning och användarbaserade säkerhetsfunktioner som multifaktorautentisering.
Läs mer om kioskenheter.
I den här artikeln fokuserar vi på delade enheter och BYOD, eftersom det här är de distributionsmodeller som passar de praktiska behoven för de flesta distributioner i frontlinjen. Läs vidare för en översikt över planeringsöverväganden och hanteringsfunktioner.
Enhetens operativsystem
Den distributionsmodell som du väljer avgör delvis de enhetsoperativsystem som du stöder. Till exempel:
- Om du implementerar en modell för delade enheter avgör det enhetsoperativsystem som du väljer vilka funktioner som är tillgängliga. Windows-enheter har till exempel inbyggt stöd för möjligheten att lagra flera användarprofiler för automatisk inloggning och enkel autentisering med Windows Hello. Med Android och iOS gäller fler steg och förutsättningar.
- Om du implementerar en BYOD-modell måste du ha stöd för både Android- och iOS-enheter.
| Enhetsoperativsystem | Överväganden |
|---|---|
| Android |
Begränsade interna funktioner för lagring av flera användarprofiler på enheter. Android-enheter kan registreras i läget för delad enhet för att automatisera enkel inloggning och utloggning och rikta in sig på principer för villkorsstyrd åtkomst. Robust hantering av kontroller och API:er. Befintligt ekosystem med enheter som skapats för användning i frontlinjen. |
| iOS och iPadOS | iOS-enheter kan registreras i läget för delad enhet för att automatisera enkel inloggning och utloggning. Det går att lagra flera användarprofiler på iPadOS-enheter med delad iPad för företag. |
| Windows | Internt stöd för lagring av flera användarprofiler på enheten. Stöder Windows Hello för lösenordsfri autentisering. Förenklade distributions- och hanteringsfunktioner när de används med Microsoft Intune. |
Enhetslandskap
När du planerar enhetsdistributionen finns det överväganden över flera ytområden. I det här avsnittet beskrivs liggande och termer som du känner till.
Hantering av mobilenheter
MDM-lösningar (Hantering av mobila enheter), till exempel Microsoft Intune, förenklar distribution, hantering och övervakning av enheter.
En enhet kan bara registreras i en MDM-lösning, men du kan använda flera MDM-lösningar för att hantera separata enhetspooler. Du kan till exempel använda VMware Workspace ONE eller SOTI MobiControl för delade enheter och Intune för BYOD. Om du använder flera MDM-lösningar bör du komma ihåg att vissa användare kanske inte kan komma åt delade enheter på grund av ett matchningsfel i principer för villkorsstyrd åtkomst eller mam-principer (hantering av mobilprogram).
Om du använder en MDM-lösning från tredje part kan du integrera med Intune-partnerefterlevnad för att dra nytta av villkorsstyrd åtkomst för enheter som hanteras av MDM-lösningar från tredje part.
Appstartare för Android-enheter
En appstart är en app som gör att du kan ge en fokuserad upplevelse för din frontlinje med en anpassad startskärm, till exempel appar, skrivbordsunderlägg och ikonpositioner. Du kan bara visa relevanta appar som dina medarbetare i frontlinjen behöver använda och widgetar som visar viktig information.
De flesta MDM-lösningar har en egen appstart. Microsoft Intune tillhandahåller till exempel Microsoft Managed Home Screen-appen. Du kan också skapa en egen anpassad start.
I följande tabell visas några av de vanligaste appstartarna som är tillgängliga idag för Android-enheter av Microsoft och utvecklare från tredje part.
| Appstartsprogram | Kapaciteter |
|---|---|
| Microsoft Hanterad startskärm | Använd Hanterad startskärm när du vill att användarna ska ha åtkomst till en specifik uppsättning appar på dina Intune-registrerade dedikerade enheter. Eftersom hanterad startskärm automatiskt kan startas som standardstartskärm på enheten och visas för användaren som den enda startskärmen, är den användbar i scenarier med delade enheter när en låst miljö krävs. Mer information. |
| VMware Workspace ONE Launcher | Om du använder VMware är Workspace ONE Launcher ett verktyg för att kurera en uppsättning appar som din frontlinje behöver åtkomst till. VMware Workspace ONE Launcher stöder för närvarande inte läget för delad enhet. Mer information. |
| SOTI | Om du använder SOTI är SOTI-appstartaren det bästa verktyget för att kurera en uppsättning appar som din frontlinje behöver åtkomst till. SOTI-appstartaren stöder läget för delad enhet i dag. |
| BlueFletch | BlueFletch Launcher kan användas på enheter, oavsett din MDM-lösning. BlueFletch stöder läget för delad enhet i dag. Mer information. |
| Startprogram för anpassad app | Om du vill ha en helt anpassad upplevelse kan du skapa en egen anpassad appstartare. Du kan integrera startprogrammet med läget för delad enhet så att användarna bara behöver logga in och ut en gång. |
Identitetshantering
Microsoft 365 för medarbetare i frontlinjen använder Microsoft Entra-ID som underliggande identitetstjänst för att leverera och skydda alla appar och resurser. Användare måste ha en identitet som finns i Microsoft Entra-ID för att få åtkomst till Microsoft 365-appar.
Om du väljer att hantera användaridentiteter i frontlinjen med Active Directory Domain Services (AD DS) eller en identitetsprovider från tredje part måste du federera dessa identiteter till Microsoft Entra-ID. Lär dig hur du integrerar din tredjepartstjänst med Microsoft Entra-ID.
Möjliga implementeringsmönster för att hantera identiteter i frontlinjen är:
- Fristående Microsoft Entra: Din organisation skapar och hanterar användar-, enhets- och appidentiteter i Microsoft Entra-ID som en fristående identitetslösning för dina arbetsbelastningar i frontlinjen. Det här implementeringsmönstret rekommenderas eftersom det förenklar distributionsarkitekturen i frontlinjen och maximerar prestanda vid användarinloggning.
- Active Directory Domain Services-integrering (AD DS) med Microsoft Entra-ID: Microsoft tillhandahåller Microsoft Entra Connect för att ansluta till dessa två miljöer. Microsoft Entra Connect replikerar Active Directory-användarkonton till Microsoft Entra-ID, vilket gör att en användare kan ha en enda identitet som kan komma åt både lokala och molnbaserade resurser. Även om både AD DS och Microsoft Entra ID kan finnas som oberoende katalogmiljöer kan du välja att skapa hybridkataloger.
- Synkronisering av identitetslösning från tredje part med Microsoft Entra-ID: Microsoft Entra ID stöder integrering med identitetsprovidrar från tredje part, till exempel Okta och Ping Identity via federation. Läs mer om hur du använder identitetsprovidrar från tredje part.
HR-driven användaretablering
Att automatisera användaretablering är ett praktiskt behov för organisationer som vill att medarbetare i frontlinjen ska kunna komma åt appar och resurser dag ett. Ur ett säkerhetsperspektiv är det också viktigt att automatisera avetablering vid avetablering av anställda för att säkerställa att tidigare anställda inte behåller åtkomsten till företagets resurser.
Microsoft Entra-tjänsten för användaretablering integreras med molnbaserade och lokala HR-appar, till exempel Workday och SAP SuccessFactors. Du kan konfigurera tjänsten för att automatisera användaretablering och avetablering när en anställd skapas eller inaktiveras i HR-systemet.
Mer information finns i:
- Vad är HR-driven etablering med Microsoft Entra-ID?
- Planera en automatisk distribution av användaretablering för Microsoft Entra-ID
Delegera användarhantering med Min personal
Med funktionen Min personal i Microsoft Entra-ID kan du delegera vanliga användarhanteringsuppgifter till chefer i frontlinjen via portalen Min personal. Chefer i frontlinjen kan utföra lösenordsåterställning eller hantera telefonnummer för medarbetare i frontlinjen direkt från butiken eller fabriksgolvet, utan att behöva dirigera förfrågningarna till supportavdelningen, driften eller IT-avdelningen.
Min personal gör det också möjligt för chefer i frontlinjen att registrera sina teammedlemmars telefonnummer för SMS-inloggning. Om SMS-baserad autentisering är aktiverat i din organisation kan medarbetare i frontlinjen logga in på Teams och andra appar med endast sina telefonnummer och ett engångslösenord som skickas via SMS. Detta gör det enkelt och snabbt att logga in för medarbetare i frontlinjen.
Läget Delad enhet
Med funktionen för delat enhetsläge i Microsoft Entra ID kan du konfigurera enheter som ska delas av anställda. Den här funktionen möjliggör enkel inloggning (SSO) och enhetsomfattande utloggning för Teams och alla andra appar som stöder läget för delad enhet.
Så här fungerar läget för delad enhet med Teams som exempel. När en anställd loggar in på Teams i början av sitt arbetspass loggas de automatiskt in på alla andra appar som stöder läget för delad enhet på enheten. När de loggar ut från Teams i slutet av sitt skift loggas de ut från alla andra appar som stöder läget för delad enhet. Efter utloggningen kan medarbetarens data och företagsdata i Teams och i alla andra appar som stöder läget för delad enhet inte längre nås. Enheten är redo för nästa medarbetare att använda.
Du kan integrera den här funktionen i dina verksamhetsspecifika appar (LOB) med hjälp av Microsoft Authentication Library (MSAL).
Autentisering
Autentiseringsfunktioner styr vem eller vad som använder ett konto för att få åtkomst till program, data och resurser.
Som tidigare nämnts använder Microsoft 365 för medarbetare i frontlinjen Microsoft Entra-ID som den underliggande identitetstjänsten för att skydda Microsoft 365-appar och -resurser. Mer information om autentisering i Microsoft Entra-ID finns i Vad är Microsoft Entra-autentisering? och Vilka autentiserings- och verifieringsmetoder är tillgängliga i Microsoft Entra-ID?.
Multifaktorautentisering
Microsoft Entra multifaktorautentisering (MFA) fungerar genom att kräva två eller flera av följande autentiseringsmetoder vid inloggning:
- Något som användaren känner till, vanligtvis ett lösenord.
- Något som användaren har, till exempel en betrodd enhet som inte är lätt att duplicera, till exempel en telefon eller maskinvarunyckel.
- Något som användaren är – biometri som ett fingeravtryck eller ansiktsskanning.
MFA stöder flera typer av verifieringsmetoder, inklusive Microsoft Authenticator-appen, FIDO2-nycklar, SMS och röstsamtal.
MFA ger en hög säkerhetsnivå för appar och data, men ger friktion vid användarinloggning. För organisationer som väljer BYOD-distributioner kan MFA vara ett praktiskt alternativ. Vi rekommenderar starkt att affärsteam och tekniska team validerar användarupplevelsen med MFA före en bred distribution så att användarpåverkan kan beaktas korrekt i arbetet med ändringshantering och beredskap.
Om MFA inte är möjligt för din organisation eller distributionsmodell bör du planera att använda robusta principer för villkorsstyrd åtkomst för att minska säkerhetsrisken.
Lösenordsfri autentisering
För att ytterligare förenkla åtkomsten för personalen i frontlinjen kan du använda lösenordsfria autentiseringsmetoder så att arbetstagarna inte behöver komma ihåg eller ange sina lösenord. Lösenordsfria autentiseringsmetoder tar bort användningen av ett lösenord vid inloggningen och ersätter det med:
- Något som användaren har, till exempel en telefon eller säkerhetsnyckel.
- Något som användaren är eller känner till, till exempel biometri eller en PIN-kod.
Lösenordsfria autentiseringsmetoder är också vanligtvis säkrare och många kan uppfylla MFA-kraven om det behövs.
Innan du fortsätter med en lösenordsfri autentiseringsmetod ska du avgöra om den kan fungera i din befintliga miljö. Överväganden som kostnad, OS-support, krav på personlig enhet och MFA-support kan påverka om en autentiseringsmetod skulle fungera för dina behov.
Se följande tabell för att utvärdera metoder för lösenordsfri autentisering för ditt scenario i frontlinjen.
| Metod | Os-stöd | Kräver personlig enhet | Stöder MFA |
|---|---|---|---|
| Microsoft Authenticator | Alla | Ja | Ja |
| SMS-inloggning | Android och iOS | Ja | Nej |
| Windows Hello | Windows | Nej | Ja |
| FIDO2-nyckel | Windows | Nej | Ja |
Mer information finns i Alternativ för lösenordsfri autentisering för Microsoft Entra-ID och Konfigurera och aktivera användare för SMS-baserad autentisering med Microsoft Entra-ID.
Tillstånd
Auktoriseringsfunktioner styr vad en autentiserad användare kan göra eller komma åt. I Microsoft 365 uppnås detta genom en kombination av principer för villkorsstyrd åtkomst i Microsoft Entra och appskyddsprinciper.
Att implementera robusta auktoriseringskontroller är en viktig del av att skydda en distribution av delade enheter i frontlinjen, särskilt om det inte går att implementera starka autentiseringsmetoder som MFA av kostnads- eller praktiska skäl.
Villkorsstyrd åtkomst för Microsoft Entra
Med villkorsstyrd åtkomst kan du skapa regler som begränsar åtkomsten baserat på följande signaler:
- Användar- eller gruppmedlemskap
- Information om IP-plats
- Enhet (endast tillgänglig om enheten har registrerats i Microsoft Entra-ID)
- Program
- Realtid och beräknad riskidentifiering
Principer för villkorsstyrd åtkomst kan användas för att blockera åtkomst när en användare är på en icke-kompatibel enhet eller när de är i ett ej betrott nätverk. Du kanske till exempel vill använda villkorsstyrd åtkomst för att förhindra användare från att komma åt en inventeringsapp när de inte är i arbetsnätverket eller använder en ohanterad enhet, beroende på organisationens analys av tillämpliga lagar.
För BYOD-scenarier där det är klokt att komma åt data utanför arbetet, till exempel HR-relaterad information, skifthantering, chatt om att byta skift eller icke-affärsrelaterade appar, kan du välja att implementera mer tillåtande principer för villkorsstyrd åtkomst tillsammans med starka autentiseringsmetoder som MFA.
Mer information finns i dokumentationen för villkorsstyrd åtkomst i Microsoft Entra.
Appskyddsprinciper
Med hantering av mobilprogram (MAM) från Intune kan du använda appskyddsprinciper med appar som är integrerade med Intune App SDK. På så sätt kan du ytterligare skydda organisationens data i en app.
Med appskyddsprinciper kan du lägga till skydd för åtkomstkontroll, till exempel:
- Kontrollera delning av data mellan appar.
- Förhindra att företagets appdata sparas på en personlig lagringsplats.
- Kontrollera att enhetens operativsystem är uppdaterat.
I en distribution av delade enheter kan du använda appskyddsprinciper för att säkerställa att data inte läcker till appar som inte stöder läget för delad enhet. I BYOD-scenarier är appskyddsprinciper användbara eftersom de gör att du kan skydda dina data på appnivå utan att behöva hantera hela enheten.