一线工作人员的设备管理概述
概述
在每个行业中,一线员工构成了员工团体的很大一部分。 一线工作人员角色包括零售助理、工厂员工、现场和服务技术人员、医疗保健人员等。
由于这些工作人员主要是流动的,并且通常基于排班,因此管理一线工作人员使用的设备是关键的基础。 需要考虑的一些问题:
- 员工使用公司拥有的设备还是自己的个人设备?
- 公司拥有的设备是否在员工之间共享或分配给个人?
- 工作人员是将设备放到家中还是将其留在工作区?
请务必设置安全、合规的基线来管理员工的设备,无论这些设备是共享设备还是员工自己的设备。
本文概述了常见的一线工作人员设备方案和管理功能,以帮助你在保护公司数据的同时为员工提供支持。 使用信息和注意事项来帮助规划一线设备部署。
设备部署
规划的一个关键步骤是确定如何将移动设备部署到一线以及要支持的操作系统。 提前做出这些决策,以便评估实施计划和 IT 基础结构的可行性,并考虑到这些因素。
部署模型
共享设备和自带设备 (BYOD) 是一线组织最常用的设备类型。 下表列出了这些部署模型以及其他部署模型和相关注意事项。
| 设备类型 | 说明 | 为何使用 | 部署注意事项 |
|---|---|---|---|
| 共享设备 | 组织拥有和管理的设备。 员工在工作时访问设备。 |
员工工作效率和客户体验是重中之重。 工作人员在工作时无法访问组织资源。 当地法律可能会阻止将个人设备用于商业目的。 |
定义一线登录和注销设备的方式。 当多重身份验证 (MFA) 选项不可用时,请考虑使用 Microsoft Entra 条件访问策略来保护共享设备。 |
| 自带设备 (BYOD) | 用户拥有并由组织管理的个人设备。 | 你希望为员工提供一种便捷的方式来查看排班计划、与同事就轮班交换进行聊天,或访问人力资源资源(如工资单)。 从成本或业务就绪情况的角度来看,共享设备或专用设备可能不切实际。 |
个人设备在操作系统、存储和连接方面各不相同。 个人设备使用可能违反工会规则或政府法规。 某些工作人员可能无法可靠地访问个人移动设备。 |
| 专用设备1 | 由组织拥有和管理并颁发给单个用户的设备。 | 辅助角色需要专用电话号码才能接收呼叫和短信。 组织需要对设备及其使用方式进行完全控制。 |
专用硬件的成本。 在现场位置,增加的推出和支持复杂性可能不可行。 |
| 展台设备2 | 组织拥有和管理的设备。 用户无需登录或注销。 | 设备具有专用用途。 用例不需要用户身份验证。 |
协作、通信、任务和工作流应用需要用户标识才能正常运行。 无法审核用户活动。 无法使用某些安全功能,包括 MFA。 |
1专用设备在一线部署中并不常见,这主要是由于在人员更替率高的情况下管理成本高且工作量大。
阿拉伯数字不建议使用展台设备部署,因为它们不允许用户审核和基于用户的安全功能,例如多重身份验证。
详细了解展台设备。
在本文中,我们将重点介绍共享设备和 BYOD,因为这些部署模型符合大多数一线部署的实际需求。 请继续阅读,了解规划注意事项和管理功能的概述。
设备操作系统
你选择的部署模型在一定程度上决定了你支持的设备操作系统。 例如:
- 如果实现共享设备模型,则所选设备操作系统将确定可用的功能。 例如,Windows 设备原生支持存储多个用户配置文件的功能,以便使用 Windows Hello 自动登录和轻松进行身份验证。 使用 Android 和 iOS 时,需要执行更多步骤和先决条件。
- 如果实现 BYOD 模型,则需要同时支持 Android 和 iOS 设备。
| 设备 OS | 注意事项 |
|---|---|
| Android | 在设备上存储多个用户配置文件的本机功能有限。 Android 设备可以在共享设备模式下注册,以自动执行单一登录和注销,并针对条件访问策略。 对控件和 API 的可靠管理。 为一线使用构建的现有设备生态系统。 |
| iOS 和 iPadOS | 可以在共享设备模式下注册 iOS 设备,以自动执行单一登录和注销。 共享 iPad for Business 可以在 iPadOS 设备上存储多个用户配置文件。 |
| Windows | 本机支持在设备上存储多个用户配置文件。 支持 Windows Hello 进行无密码身份验证。 与 Microsoft Intune 一起使用时,简化了部署和管理功能。 |
设备布局
规划设备部署时,需要考虑多个外围应用。 本部分介绍要熟悉的布局和术语。
移动设备管理
移动设备管理 (MDM) 解决方案(如 Microsoft Intune)简化了设备的部署、管理和监视。
一个设备只能在一个 MDM 解决方案中注册,但你可以使用多个 MDM 解决方案来管理单独的设备池。 例如,可以将 VMware Workspace ONE 或 SOTI MobiControl 用于共享设备,将 Intune 用于 BYOD。 如果使用多个 MDM 解决方案,请记住,由于条件访问策略或移动应用程序管理 (MAM) 策略不匹配,某些用户可能无法访问共享设备。
如果使用第三方 MDM 解决方案,则可以与 Intune 合作伙伴合规性 集成,以利用由第三方 MDM 解决方案管理的设备的条件访问。
适用于 Android 设备的应用启动器
应用启动器是一种应用,可让你通过自定义启动屏幕(例如应用、壁纸和图标位置)为前线提供集中体验。 只能显示一线员工需要使用的相关应用,以及突出显示关键信息的小组件。
大多数 MDM 解决方案都提供自己的应用启动器。 例如,Microsoft Intune 提供Microsoft托管主屏幕应用。 还可以生成自己的自定义启动器。
下表列出了目前由Microsoft和第三方开发人员提供的一些最常见的应用启动器。
| 应用启动器 | 功能 |
|---|---|
| Microsoft托管主屏幕 | 如果希望用户有权访问已注册 Intune 的专用设备上的一组特定应用,请使用托管主屏幕。 由于托管主屏幕可以作为设备上的默认主屏幕自动启动,并且向用户显示为唯一的主屏幕,因此,当需要锁定体验时,它在共享设备方案中非常有用。 了解详细信息。 |
| VMware Workspace ONE 启动器 | 如果使用 VMware,工作区 ONE 启动器是一个工具,用于策划一线需要访问的一组应用。 VMware Workspace ONE 启动器当前不支持共享设备模式。 了解详细信息。 |
| SOTI | 如果你使用的是 SOTI,则 SOTI 应用启动器是策展一线需要访问的一组应用的最佳工具。 SOTI 应用启动器目前支持共享设备模式。 |
| BlueFletch | 无论 MDM 解决方案如何,都可以在设备上使用 BlueFletch Launcher。 BlueFletch 目前支持共享设备模式。 了解详细信息。 |
| 自定义应用启动器 | 如果需要完全自定义的体验,可以构建自己的自定义应用启动器。 可以将启动器与共享设备模式集成,以便用户只需登录和注销一次。 |
身份管理
Microsoft 365 一线员工使用Microsoft Entra ID 作为基础标识服务,用于交付和保护所有应用和资源。 用户必须具有Microsoft Entra ID 中存在的标识才能访问 Microsoft 365 应用。
如果选择使用 Active Directory 域服务 (AD DS) 或第三方标识提供者来管理一线用户标识,则需要将这些标识联合到Microsoft Entra ID。 了解如何将第三方服务与 Microsoft Entra ID 集成。
管理一线标识的可能实现模式包括:
- Microsoft Entra 独立: 你的组织在 entra ID Microsoft 中创建和管理用户、设备和应用标识,作为一线工作负载的独立标识解决方案。 建议使用此实现模式,因为它简化了一线部署体系结构,并在用户登录期间最大限度地提高了性能。
- Active Directory 域服务 (AD DS) 与 Microsoft Entra ID 集成: Microsoft提供Microsoft Entra Connect 来联接这两个环境。 Microsoft Entra Connect 将 Active Directory 用户帐户复制到 Microsoft Entra ID,从而允许用户拥有能够访问本地和基于云的资源的单个标识。 尽管 AD DS 和 Microsoft Entra ID 都可以作为独立的目录环境存在,但可以选择创建混合目录。
- 第三方标识解决方案与 Microsoft Entra ID 同步: Microsoft Entra ID 支持通过联合身份验证与第三方标识提供者(例如 Okta 和 Ping Identity)集成。 详细了解如何使用第三方标识提供者。
HR 驱动的用户预配
对于希望一线员工能够在第一天访问应用和资源的组织来说,自动化用户预配是一项实际需求。 从安全角度来看,在员工离职期间自动取消预配也很重要,以确保以前的员工不会保留对公司资源的访问权限。
Microsoft Entra 用户预配服务与基于云的和本地 HR 应用(如 Workday 和 SAP SuccessFactors)集成。 可以将服务配置为在 HR 系统中创建或禁用员工时自动执行用户预配和取消预配。
若要了解详细信息,请参阅:
使用“我的员工”委托用户管理
使用 Microsoft Entra ID 中的 “我的员工 ”功能,可以通过“我的员工”门户将常见的用户管理任务委托给一线经理。 一线经理可以直接从商店或工厂车间为一线工作人员进行密码重置或管理其电话号码,而无需将请求传到支持人员、操作人员或 IT 人员。
“我的员工”还可以让一线经理注册其团队成员的电话号码以进行短信登录。 如果在组织中启用了基于 SMS 的身份验证,则一线工作人员只能使用其电话号码和通过短信发送的一次性密码登录到 Teams 和其他应用。 这使得一线员工登录变得简单快捷。
共享设备模式
使用 Microsoft Entra ID 的 共享设备模式 功能,可以将设备配置为由员工共享。 此功能为 Teams 和支持共享设备模式的所有其他应用启用单一登录 (SSO) 和设备范围的注销。
下面是共享设备模式的工作原理,以 Teams 为示例。 当员工在开始轮班时登录 Teams 时,他们将自动登录到设备上支持共享设备模式的所有其他应用。 当他们在轮班结束时注销 Teams 时,将从支持共享设备模式的所有其他应用注销。 注销后,将无法再访问 Teams 和所有其他支持共享设备模式的应用中员工的数据和公司数据。 设备已准备好供下一名员工使用。
可以使用 Microsoft 身份验证库 (MSAL ) 将此功能集成到业务线 (LOB) 应用中。
身份验证
身份验证功能控制谁或哪些人使用帐户来获取对应用程序、数据和资源的访问权限。
如前所述,Microsoft 365 一线工作人员使用 Microsoft Entra ID 作为基础标识服务来保护Microsoft 365 个应用和资源。 若要详细了解Microsoft Entra ID 中的身份验证,请参阅 什么是 entra 身份验证Microsoft? 和 Entra ID Microsoft中有哪些身份验证和验证方法?。
多重身份验证
Microsoft Entra 多重身份验证 (MFA) 的工作原理是在登录时要求使用以下两种或多种身份验证方法:
- 用户知道的内容,通常是密码。
- 用户拥有的内容,例如不容易复制的受信任设备,例如手机或硬件密钥。
- 用户的身份 - 指纹或面部扫描等生物识别。
MFA 支持多种形式的验证方法,包括Microsoft Authenticator 应用、FIDO2 密钥、短信和语音呼叫。
MFA 为应用和数据提供高级别的安全性,但会增加用户登录的摩擦。 对于选择 BYOD 部署的组织,MFA 可能可行,也可能不是。 强烈建议业务和技术团队在广泛推出之前使用 MFA 验证用户体验,以便在变更管理和就绪工作中正确考虑用户的影响。
如果 MFA 对组织或部署模型不可行,则应计划使用可靠的条件访问策略来降低安全风险。
无密码身份验证
若要进一步简化一线员工的访问权限,可以使用无密码身份验证方法,以便员工无需记住或输入其密码。 无密码身份验证方法删除了在登录时使用密码并将其替换为:
- 用户拥有的内容,例如电话或安全密钥。
- 用户是或知道的内容,例如生物识别或 PIN。
无密码身份验证方法通常也更安全,并且许多方法可以在必要时满足 MFA 要求。
在继续使用无密码身份验证方法之前,请确定该方法是否可以在现有环境中工作。 成本、OS 支持、个人设备要求和 MFA 支持等注意事项可能会影响身份验证方法是否适合你的需求。
请参阅下表,评估一线方案的无密码身份验证方法。
| 方法 | OS 支持 | 需要个人设备 | 支持 MFA |
|---|---|---|---|
| Microsoft Authenticator | 全部 | 是 | 是 |
| 短信登录 | Android 和 iOS | 是 | 否 |
| Windows Hello | Windows | 否 | 是 |
| FIDO2 密钥 | Windows | 否 | 是 |
若要了解详细信息,请参阅 Microsoft Entra ID 的无密码身份验证选项和使用 Microsoft Entra ID 为用户配置和启用基于短信的身份验证。
Authorization
授权功能控制经过身份验证的用户可以执行或访问的内容。 在 Microsoft 365 中,这是通过组合Microsoft Entra 条件访问策略和应用保护策略来实现的。
实现可靠的授权控制是保护一线共享设备部署的关键组成部分,尤其是在出于成本或实用性原因无法实现强身份验证方法(如 MFA)的情况下。
Microsoft Entra 条件访问
使用条件访问,可以创建基于以下信号限制访问的规则:
- 用户或组成员身份
- IP 位置信息
- 设备 (仅在设备注册Microsoft Entra ID)
- 应用
- 实时和计算风险检测
条件访问策略可用于在用户处于不符合要求的设备或处于不受信任的网络上时阻止访问。 例如,你可能希望使用条件访问来阻止用户在不在工作网络上或使用非托管设备时访问清单应用,具体取决于组织对适用法律的分析。
对于在工作之外访问数据有意义的 BYOD 方案(例如人力资源相关信息、班次管理、关于交换班次的聊天或非业务相关应用),你可以选择实施更宽松的条件访问策略以及强身份验证方法(如 MFA)。
若要了解详细信息,请参阅 Microsoft Entra 条件访问文档。
应用保护策略
使用来自 Intune 的移动应用程序管理 (MAM) ,可以将 应用保护策略 与 与 Intune 应用 SDK 集成的应用结合使用。 这允许你在应用中进一步保护组织的数据。
使用应用保护策略,可以添加访问控制安全措施,例如:
- 控制应用之间的数据共享。
- 防止将公司应用数据保存到私人存储位置。
- 确保设备的操作系统是最新的。
在共享设备部署中,可以使用应用保护策略来确保数据不会泄漏到不支持共享设备模式的应用。 在 BYOD 方案中,应用保护策略非常有用,因为它们允许你在应用级别保护数据,而无需管理整个设备。