通过

管理一线工作人员的设备

  • 项目
  • 适用于:
    Microsoft Teams, Microsoft 365 for frontline workers

在每个行业中,一线员工构成了员工团体的很大一部分。 一线工作人员角色包括零售助理、工厂员工、现场和服务技术人员、医疗保健人员等。

概述

由于这些工作人员主要是流动的,并且通常基于排班,因此管理一线工作人员使用的设备是关键的基础。 需要考虑的一些问题:

  • 员工使用公司拥有的设备还是自己的个人设备?
  • 公司拥有的设备是否在员工之间共享或分配给个人?
  • 工作人员是将设备放到家中还是将其留在工作区?

请务必设置安全、合规的基线来管理员工的设备,无论这些设备是共享设备还是员工自己的设备。 本文概述了常见的一线工作人员设备方案和管理功能,以帮助你在保护公司数据的同时为员工提供支持。

设备类型

共享、自带和展台设备是一线员工最常用的设备类型。

设备类型 说明 使用原因 部署注意事项
共享设备 设备由组织拥有和管理。 员工在工作时访问设备。 员工工作效率和客户体验是重中之重。

工作人员在工作时无法访问组织资源。

当地法律可能会禁止将个人设备用于商业目的。		 登录/注销可能会给员工体验增加摩擦。

可能会无意中共享敏感数据。
自带设备 (BYOD) 个人设备由用户拥有,并由组织管理。 现有的移动设备管理 (MDM) 解决方案阻止组织采用共享设备模型。

从成本或业务就绪情况的角度来看,共享设备或专用设备可能不切实际。		 支持复杂性在现场位置可能不可行。

个人设备在 OS、存储和连接方面有所不同。

某些员工可能无法可靠地访问个人移动设备。

如果员工访问资源而没有打卡,则可能会对工资承担潜在责任。

个人设备使用可能违反工会规则或政府法规。
展台设备 设备由组织拥有和管理。 用户无需登录或注销。 设备具有专用用途。

用例不需要用户身份验证。		 协作、通信、任务和工作流应用程序需要用户标识才能正常运行。

无法审核用户活动。

无法使用某些安全功能,包括多重身份验证。

共享设备和 BYOD 通常在一线部署中采用。 可以使用本文后续部分讨论的功能来解决或缓解组织对用户体验、未经授权工作者访问数据以及资源以及大规模部署和管理设备的能力的担忧。

注意

不建议使用展台设备部署,因为它们不允许用户审核和基于用户的安全功能,例如多重身份验证。 详细了解展台设备

共享设备

许多一线工作人员使用共享移动设备来完成工作。 共享设备是公司拥有的设备,在员工之间跨任务、班次或位置共享。

下面是典型场景的示例。 组织有一个设备池,这些设备正在充电,可供所有员工共享。 在班次开始时,员工从池中取出设备,并登录到对其角色至关重要的 Teams 和其他业务应用。 在轮班结束时,他们注销并将设备返回到池中。 即使在同一班次中,工作人员在完成任务或下班打卡吃午餐时也可能会返回设备,然后在重新回来时选取其他设备。

共享设备存在独特的安全挑战。 例如,员工可能有权访问某些公司或客户数据,而这些数据不应对同一设备上的其他人可用。

个人设备 (BYOD)

某些组织使用自带设备 (BYOD) 模式,一线工作人员使用自己的移动设备访问 Teams 和其他业务应用。 下面概述了在个人设备上管理访问和合规性的一些方法。

设备操作系统

选择的部署模型将部分决定你支持的设备操作系统。 例如,如果实现 BYOD 模型,则需要同时支持 Android 和 iOS 设备。 如果实现共享设备模型,则所选设备 OS 将确定可用的功能。 例如,Windows 设备原生支持存储多个用户配置文件的功能,以便使用 Windows Hello 进行自动登录和轻松身份验证。 使用 Android 和 iOS 时,需要执行更多步骤和先决条件。

设备 OS 注意事项
Windows 本机支持在设备上存储多个用户配置文件。
支持无密码身份验证的Windows Hello。
与 Microsoft Intune 一起使用时,简化了部署和管理功能。
Android 在设备上存储多个用户配置文件的本机功能有限
Android 设备可以在共享设备模式下注册,以自动执行单一登录和注销。
对控件和 API 的可靠管理。
为一线使用构建的现有设备生态系统。
iOS 和 iPadOS 可以在共享设备模式下注册 iOS 设备,以自动执行单一登录和注销。
共享 iPad for Business 可以在 iPadOS 设备上存储多个用户配置文件。 由于 Apple 对用户配置文件进行分区的方式,共享 iPad for Business 无法使用条件访问。

在共享设备部署中,在一个设备上存储多个用户配置文件以简化用户登录的能力,以及从以前的用户 (单一注销) 清除应用数据的功能是一线部署的实际要求。 这些功能在使用共享 iPad for Business 的 Windows 设备和 iPad 上本机提供。

用户标识

Microsoft 365 一线工作人员使用Microsoft Entra ID 作为基础标识服务,用于交付和保护所有应用程序和资源。 用户必须具有存在于Microsoft Entra ID 中的标识才能访问 Microsoft 365 云应用程序。

如果选择使用 Active Directory 域服务 (AD DS) 或第三方标识提供者管理一线用户标识,则需要将这些标识联合到Microsoft Entra ID。 了解如何将第三方服务与Microsoft Entra ID 集成

管理一线标识的可能实现模式包括:

  • Microsoft Entra独立:组织在Microsoft Entra ID 中创建和管理用户、设备和应用程序标识,作为一线工作负载的独立标识解决方案。 建议使用此实现模式,因为它简化了一线部署体系结构,并在用户登录期间最大限度地提高性能。
  • Active Directory 域服务 (AD DS) 与 Microsoft Entra ID 集成:Microsoft 提供 Microsoft Entra Connect 来联接这两个环境。 Microsoft Entra Connect 将 AD 用户帐户复制到Microsoft Entra ID,从而允许用户拥有能够访问本地和基于云的资源的单个标识。 尽管 AD DS 和 Microsoft Entra ID 都可以作为独立的目录环境存在,但可以选择创建混合目录。
  • 第三方标识解决方案与Microsoft Entra ID 同步:Microsoft Entra ID 支持通过联合身份验证与第三方标识提供者(例如 Okta 和 Ping 标识)集成。 详细了解如何使用第三方标识提供者

HR 驱动的用户预配

对于希望一线员工能够在第一天访问应用程序和资源的组织来说,自动化用户预配是一项实际需求。 从安全角度来看,在员工离职期间自动取消预配也很重要,以确保以前的员工不会保留对公司资源的访问权限。

Microsoft Entra用户预配服务与基于云的和本地 HR 应用程序(如 Workday 和 SAP SuccessFactors)集成。 可以将服务配置为在 HR 系统中创建或禁用员工时自动执行用户预配和取消预配。

我的员工

使用 Microsoft Entra ID 中的“我的员工”功能,可以通过“我的员工”门户将常见的用户管理任务委托给一线经理。 一线经理可以直接从商店或工厂车间为一线工作人员进行密码重置或管理其电话号码,而无需将请求传到支持人员、操作人员或 IT 人员。

“我的员工”还可以让一线经理注册其团队成员的电话号码以进行短信登录。 如果在组织中启用了基于 SMS 的身份验证,则一线工作人员只能使用其电话号码和通过短信发送的一次性密码登录到 Teams 和其他应用。 这使得一线工作人员的登录变得简单、安全且快速。

移动设备管理

移动设备管理 (MDM) 解决方案可以简化设备的部署、管理和监视。 Microsoft Intune原生支持将共享设备部署到一线员工的重要功能。 这些功能包括:

  • 零接触预配: IT 管理员可以注册和预配置移动设备,而无需物理保管设备, (手动配置) 。 在大规模将共享设备部署到现场位置时,此功能非常有用,因为设备可以直接寄送到预期的前线位置,可在其中远程完成自动配置和预配步骤。
  • 单一注销: 在新用户登录时,停止后台进程并自动注销分配给上一个用户的所有应用程序和资源。 Android 和 iOS 设备必须在共享设备模式下注册才能使用单一注销。
  • Microsoft Entra条件访问:IT 管理员可以通过标识驱动信号为基于云的应用程序和资源实现自动化访问控制决策。 例如,可以阻止未安装最新安全更新的共享或 BYOD 设备进行访问。 详细了解如何保护部署

如果使用第三方 MDM 解决方案进行共享设备部署,例如 VMware 的 Workspace ONE 或 SOTI MobiControl,请务必了解关联的功能、限制和可用的解决方法。

当 Android 设备上发生全局注销时,某些第三方 MDM 可以清除应用数据。 但是,应用数据清除可能会丢失存储在共享位置中的数据、删除应用设置或导致首次运行体验重新出现。 在共享设备模式下注册的 Android 设备可以在设备检查期间或新用户登录到设备时选择性地清除必要的应用程序数据。 详细了解共享设备模式下的身份验证

可以在适用于 iOS 和 Android 设备的第三方 MDM 解决方案中手动配置共享设备模式,但是,手动配置步骤不会将设备标记为符合Microsoft Entra ID,这意味着此方案不支持条件访问。 如果选择在共享设备模式下手动配置设备,则需要采取其他步骤,在共享设备模式下使用零接触预配重新注册 Android 设备,以便通过从设备卸载并重新安装 Authenticator 来获得第三方 MDM 支持时获得条件访问支持。

一个设备只能在一个 MDM 解决方案中注册,但你可以使用多个 MDM 解决方案来管理单独的设备池。 例如,可以将工作区 ONE 用于共享设备,将 Intune 用于 BYOD。 如果使用多个 MDM 解决方案,请记住,由于条件访问策略不匹配,某些用户可能无法访问共享设备。

MDM 解决方案 单一注销 零接触预配 Microsoft Entra条件访问
Intune (Microsoft) 支持在共享设备模式下注册的 Android 和 iOS 设备 支持在共享设备模式下注册的 Android 和 iOS 设备 支持在共享设备模式下注册的 Android 和 iOS 设备
Workspace ONE (VMware) 支持 清除 Android 应用数据 功能。 不适用于 iOS 目前不适用于 Android 和 iOS。 目前不适用于 Android 和 iOS。
MobiControl (SOTI) 支持 擦除程序数据 功能。 不适用于 iOS。 目前不适用于 Android 和 iOS。 目前不适用于 Android 和 iOS。

在 Intune 中注册的 Windows 设备支持单一注销、零接触预配和Microsoft Entra条件访问。 无需在 Windows 设备上配置共享设备模式。

建议将 Intune 用于 BYOD 方案,因为它跨设备类型提供最佳支持和功能。

注册 Android 和 iOS 个人设备

除了公司拥有的设备之外,还可以将用户个人拥有的设备注册到 Intune 中进行管理。 对于 BYOD 注册,可以在 Microsoft Intune 管理中心中添加设备用户,配置其注册体验,并设置 Intune 策略。 用户在设备上安装的 Intune 公司门户应用中自行完成注册。

在某些情况下,用户可能会不愿意将其个人设备注册到管理中。 如果设备注册不是一个选项,则可以选择移动应用程序管理 (MAM) 方法,使用应用保护策略来管理包含公司数据的应用。 例如,可以将应用保护策略应用于 Teams 和 Office 移动应用,以防止将公司数据复制到设备上的个人应用。

若要了解详细信息,请参阅 Intune 规划指南中的“个人设备与组织拥有的设备”部署指南:在 Microsoft Intune 中注册设备

身份验证

身份验证功能控制谁或哪些人使用帐户来获取对应用程序、数据和资源的访问权限。 将共享设备部署到一线工作人员的组织需要身份验证控制,这些控制不会妨碍员工工作效率,同时防止在经过身份验证的用户之间传输设备时未经授权或意外地访问应用程序和数据。

Microsoft 的一线解决方案从云交付,并利用Microsoft Entra ID 作为基础标识服务来保护 Microsoft 365 应用程序和资源。 Microsoft Entra ID 中的这些身份验证功能解决了共享设备部署的独特注意事项:自动单一登录、单一注销和其他强身份验证方法。

共享设备模式

共享设备模式是Microsoft Entra ID 的一项功能,可用于将设备配置为由员工共享。 此功能为 Microsoft Teams 和支持共享设备模式的所有其他应用启用单一登录 (SSO) 和设备范围的注销。 可以使用 Microsoft 身份验证库 (MSAL) 将此功能集成到业务线 (LOB) 应用中。 设备处于共享设备模式后,利用 Microsoft 身份验证库 (MSAL) 的应用程序可以检测到它们在共享设备上运行,并确定当前活动用户是谁。 借助此信息,应用程序可以完成以下身份验证控制:

  • 自动单一登录: 如果用户已登录到另一个 MSAL 应用程序,则用户将登录到与共享设备模式兼容的任何应用程序。 这是对以前的单一登录体验的改进,因为它进一步减少了登录第一个应用程序后访问应用程序所需的时间,因为用户无需选择以前登录的帐户。
  • 单一注销: 用户使用 MSAL 注销应用后,与共享设备模式集成的所有其他应用程序都可以停止后台进程并开始注销数据清除过程,以防止下一个用户进行未经授权的或意外访问。

下面是共享设备模式的工作原理,以 Teams 为示例。 当员工在开始轮班时登录 Teams 时,他们将自动登录到设备上支持共享设备模式的所有其他应用。 在轮班结束时,当他们注销 Teams 时,将会从支持共享设备模式的所有其他应用中全局注销。 注销后,Teams 中的员工数据和公司数据 (包括) 托管的应用,以及支持共享设备模式的所有其他应用中托管的应用。 设备已为下一个员工准备就绪,可以安全交付。

共享设备模式改进了 Android 的应用数据清除功能,因为它允许应用程序开发人员选择性地清除个人用户数据,而不会影响应用设置或缓存数据。 使用共享设备模式时,不会删除允许应用程序记住是否显示首次运行体验的标志,因此用户在每次登录时不会看到首次运行体验。

共享设备模式还允许设备为所有用户注册一次Microsoft Entra ID,以便你可以轻松地创建配置文件来保护共享设备上的应用和数据使用。 这允许你支持条件访问,而无需在每次新用户向设备进行身份验证时重新注册设备。

使用移动设备管理 (MDM) 解决方案(如Microsoft Intune或Microsoft Configuration Manager)来准备要共享的设备,方法是安装 Microsoft Authenticator 应用并打开共享模式。 Teams 和所有其他支持共享设备模式的应用使用共享模式设置来管理设备上的用户。 注销时,你使用的 MDM 解决方案还应执行设备清理。

注意

共享设备模式不是完整的数据丢失防护解决方案。 共享设备模式应与 Microsoft Application Manager (MAM) 策略结合使用,以确保数据不会泄漏到未利用共享设备模式 (的设备区域,例如本地文件存储) 。

先决条件和注意事项

需要满足以下先决条件才能使用共享设备模式。

  • 设备必须首先安装 Microsoft Authenticator。
  • 设备必须在共享设备模式下注册。
  • 需要这些优势的所有应用程序都需要与 MSAL 中的共享设备模式 API 集成。

需要 MAM 策略来防止数据从启用共享设备模式的应用程序移动到启用非共享设备模式的应用程序。

目前,共享设备模式的零接触预配仅适用于 Intune。 如果使用第三方 MDM 解决方案,则必须使用 手动配置步骤在共享设备模式下注册设备。

注意

手动配置的设备并不完全支持条件访问。

某些 Microsoft 365 应用程序目前不支持共享设备模式。 下表汇总了可用内容。 如果需要的应用程序缺少共享设备模式集成,建议在 Microsoft Teams 或 Microsoft Edge 中运行基于 Web 的应用程序版本,以获得共享设备模式的优势。

Android 设备当前支持共享设备模式。 下面是一些帮助你入门的资源。

将 Android 设备注册到共享设备模式

若要使用 Intune 管理 Android 设备并将其注册到共享设备模式,设备必须运行 Android OS 版本 8.0 或更高版本,并且具有 Google Mobile Services (GMS) 连接。 若要了解详细信息,请参阅:

你还可以选择部署 Microsoft 托管主屏幕应用,以定制用户在其已注册 Intune 的 Android 专用设备上的体验。 托管主屏幕充当启动器,供其他已批准的应用在它上面运行,并允许你自定义设备并限制员工可以访问的内容。 例如,你可以定义应用在主屏幕上的显示方式、添加公司徽标、设置自定义壁纸以及允许员工设置会话 PIN。 甚至可以将注销配置为在指定的非活动时间段后自动进行。 若要了解详细信息,请参阅:

适用于为共享设备模式创建应用的开发人员

如果你是开发人员,请参阅以下资源,了解有关如何将应用与共享设备模式集成的详细信息:

多重身份验证

Microsoft Entra ID 支持使用 Authenticator 应用、FIDO2 密钥、短信、语音呼叫等进行多种形式的多重身份验证。

由于成本较高和法律限制,最安全的身份验证方法可能不适用于许多组织。 例如,FIDO2 安全密钥通常被视为过于昂贵,Windows Hello等生物识别工具可能违反现有法规或工会规则,如果不允许一线员工携带其个人设备上班,则可能无法使用短信登录。

多重身份验证为应用程序和数据提供高级别的安全性,但会增加用户登录的持续摩擦。 对于选择 BYOD 部署的组织,多重身份验证可能是也可能不是一种实用选项。 强烈建议业务和技术团队在广泛推出之前使用多重身份验证验证用户体验,以便在变更管理和就绪工作中正确考虑用户的影响。

如果多重身份验证对组织或部署模型不可行,则应计划利用可靠的条件访问策略来降低安全风险。

无密码身份验证

为了进一步简化一线员工的访问权限,可以利用无密码身份验证方法,使员工无需记住或键入其密码。 无密码身份验证方法通常也更安全,并且许多方法可以在必要时满足 MFA 要求。

在继续使用无密码身份验证方法之前,需要确定该方法是否可以在现有环境中工作。 成本、OS 支持、个人设备要求和 MFA 支持等注意事项可能会影响身份验证方法是否适合你的需求。 例如,FIDO2 安全密钥当前被视为过于昂贵,如果不允许一线员工将其个人设备带上工作,则可能无法使用短信和验证器登录。

请参阅表,评估一线方案的无密码身份验证方法。

方法 OS 支持 需要个人设备 支持多重身份验证
短信登录 Android 和 iOS
Windows Hello Windows
Microsoft Authenticator 全部
FIDO2 密钥 Windows

如果要使用共享设备进行部署,并且以前的无密码选项不可行,则可以选择禁用强密码要求,以便用户在登录托管设备时提供更简单的密码。 如果选择禁用强密码要求,应考虑将这些策略添加到实施计划。

  • 仅对共享设备的用户禁用强密码要求。
  • 创建条件访问策略,防止这些用户登录到不受信任的网络上的非共享设备。

Authorization

授权功能控制经过身份验证的用户可以执行或访问的内容。 在 Microsoft 365 中,这是通过组合Microsoft Entra条件访问策略和应用程序保护策略来实现的。

实现可靠的授权控制是保护一线共享设备部署的一个关键组件,尤其是在出于成本或实用性原因无法实现多重身份验证 (MFA) 等强身份验证方法时。

Microsoft Entra条件访问

使用条件访问,可以创建基于以下信号限制访问的规则:

  • 用户或组成员身份
  • IP 位置信息
  • 仅当设备在Microsoft Entra ID) 中注册时,设备 (才可用
  • 应用程序
  • 实时和计算的风险检测

条件访问策略可用于在用户位于不合规的设备或处于不受信任的网络上时阻止访问。 例如,你可能希望使用条件访问来防止用户在不在工作网络上或使用非托管设备时访问清单应用程序,具体取决于组织对适用法律的分析。

对于在工作之外访问数据(如 HR 相关信息或非业务相关应用程序)有意义的 BYOD 方案,可以选择在强身份验证方法(如多重身份验证)的同时实现更宽松的条件访问策略。

支持条件访问:

  • Intune 中管理的共享 Windows 设备。
  • 在共享设备模式下注册的共享 Android 和 iOS 设备,且采用零接触预配。
  • 使用 Intune 或第三方 MDM 解决方案管理的适用于 Windows、Android 和 iOS 的 BYOD。

不支持条件访问:

  • 使用共享设备模式手动配置的设备,包括使用第三方 MDM 解决方案管理的 Android 和 iOS 设备。
  • 使用共享 iPad for Business 的 iPad 设备。

注意

使用精选第三方 MDM 解决方案管理的 Android 设备的条件访问即将推出。

有关条件访问的详细信息,请参阅Microsoft Entra条件访问文档

应用保护策略

借助 Intune 中的 MAM,可以将应用保护策略 (应用) 与 Intune APP SDK 集成的应用程序配合使用。 这允许你进一步保护组织在应用程序中的数据。

使用应用保护策略,可以添加访问控制安全措施,例如:

  • 规定在工作环境中打开应用时需使用 PIN。
  • 控制应用程序之间的数据共享
  • 防止将公司应用数据保存到私人存储位置
  • 确保设备的操作系统是最新的

还可以使用 APP 来确保数据不会泄漏到不支持共享设备模式的应用程序。 若要防止数据丢失,必须在共享设备上启用以下 API:

  • 禁用复制/粘贴到启用了非共享设备模式的应用程序。
  • 禁用本地文件保存。
  • 禁用对启用了非共享设备模式的应用程序的数据传输功能。

APP 在 BYOD 方案中非常有用,因为它们允许你在应用级别保护数据,而无需管理整个设备。 在员工可能拥有由其他租户管理的设备 (例如,一所大学或另一个雇主) 且不能由其他公司管理的情况下,这一点非常重要。

应用管理

部署计划应包括一线工作人员完成其作业所需的应用程序的清单和评估。 本部分介绍注意事项和必要步骤,以确保用户有权访问所需的应用程序,并在一线实现的上下文中优化体验。

出于此评估的目的,应用程序分为三组:

  • Microsoft 生成 并支持 Microsoft 应用程序。 Microsoft 应用程序支持Microsoft Entra ID 并与 Intune 的 APP SDK 集成。 但是,并非所有 Microsoft 应用程序都支持共享设备模式。 [请参阅受支持的应用程序和可用性列表。] (身份验证书签)
  • 第三方应用程序 由第三方提供商以商业方式生成和销售。 某些应用程序不支持Microsoft Entra ID、Intune 的 APP SDK 或共享设备模式。 请与应用程序提供商和 Microsoft 帐户团队协作,确认用户体验。
  • 自定义业务线应用程序 由组织开发,以满足内部业务需求。 如果使用 Power Apps 生成应用程序,则应用将自动启用Microsoft Entra ID、Intune 和共享设备模式。

一线用户访问的应用程序满足这些要求, (为启用全局单一登录和单一注销) 适用。

  • 将自定义和第三方应用程序与 MSAL 集成:用户可以使用Microsoft Entra ID、启用 SSO 和条件访问策略在应用程序中进行身份验证。
  • 将应用程序与共享设备模式集成 (仅适用于 Android 或 iOS 共享设备) : 应用程序可以使用 MSAL 中必需的共享设备模式 API 来执行自动单一登录和单一注销。适当地使用这些 API 可以与共享设备模式集成。 如果在 Teams、Microsoft Edge 或 PowerApps 中运行应用程序,则不需要这样做。
  • 与 Intune 的 APP SDK 集成 (仅适用于 Android 或 iOS 共享设备,) : 可以在 Intune 中管理应用程序,以防止意外或未经授权的数据泄露。 如果 MDM 执行应用数据清除以擦除设备检查流期间的任何敏感数据, (单一注销) ,则不需要执行此操作。

成功验证应用程序后,可以使用 MDM 解决方案将它们部署到托管设备。 这允许你在设备注册期间预安装所有必要的应用程序,以便用户在第一天就拥有所需的一切。

适用于 Android 设备的应用启动器

在 Android 设备上,一旦员工打开设备,提供重点体验的最佳方法是提供自定义启动屏幕。 使用自定义的启动屏幕,只能显示员工需要使用的相关应用程序和突出显示关键信息的小组件。

大多数 MDM 解决方案都提供其自己的应用启动器,可以使用。 例如,Microsoft 提供托管主屏幕。 如果要为共享设备生成自己的自定义应用启动器,则需要将其与共享设备模式集成,以便单一登录和单一注销在设备上有效。 下表突出显示了 Microsoft 和第三方开发人员目前提供的一些最常见的应用启动器。

应用启动器 功能
托管主屏幕 如果希望最终用户有权访问已注册 Intune 的专用设备上的一组特定应用程序,请使用托管主屏幕。 由于托管主屏幕可以作为设备上的默认主屏幕自动启动,并且对最终用户显示为唯一的主屏幕,因此当需要锁定体验时,它在共享设备方案中非常有用。
Microsoft Launcher Microsoft Launcher 允许用户个性化其手机,随时随地保持井然有序,并将工作从手机转移到电脑。 Microsoft Launcher 与 托管主屏幕 不同,因为它允许最终用户访问其标准主屏幕。 因此,Microsoft Launcher 在 BYOD 方案中非常有用。
VMware Workspace ONE 启动器 对于使用 VMware 的客户,Workspace ONE 启动器是用于策划一线员工需要访问的一组应用程序的最佳工具。 此启动器中的注销选项也是使 Android 应用数据清除在 VMware 设备上进行单一注销的功能。 VMware Workspace ONE 启动器当前不支持共享设备模式。
自定义应用启动器 如果需要完全自定义的体验,可以构建自己的自定义应用启动器。 可以将启动器与共享设备模式集成,以便用户只需登录和注销一次。