第一線員工的裝置管理概觀
概觀
在每個行業中,前線工作人員占員工比很大。 前線工作者角色包括零售夥伴、工廠工人、現場和服務技術人員、醫療保健人員等等。
由於大量員工是行動的,並且通常是班次型的,因此管理前線工作者使用的裝置是重要基礎。 需要考慮的一些問題:
- 員工是否使用公司擁有的裝置或個人裝置?
- 公司擁有的裝置是在員工之間共用還是指派給個人?
- 員工是否將裝置帶回家或留在工作場所?
為員工管理裝置 (無論是共用裝置還是員工自己的裝置) 設定安全、符合標準的基準非常重要。
本文提供一般前線工作者裝置案例和管理功能的概觀,以協助賦權員工,同時保護公司資料。 使用資訊和考慮來協助規劃一線裝置部署。
裝置部署
規劃的關鍵步驟是判斷如何將行動裝置部署到您的第一線,以及要支援的操作系統。 事先做出這些決策,讓您可以在考慮這些因素時評估實作計劃和IT基礎結構的可行性。
部署模式
共用裝置和攜帶您自己的裝置 (BYOD) 是最常用於一線組織中的裝置類型。 下表列出這些部署模型及其他相關考慮。
裝置類型 | 描述 | 為何要使用 | 部署考量 |
---|---|---|---|
共用的裝置 | 組織所擁有和管理的裝置。 員工在工作時存取裝置。 |
工作者生產力和客戶體驗是最高優先順序。 員工無法在工作時存取組織資源。 當地法律可能會防止個人裝置用於商務用途。 |
定義第一線登入和註銷裝置的方式。 當多重要素驗證 (MFA) 不是選項時,請考慮使用 Microsoft Entra 條件式存取原則來保護共用裝置。 |
自備裝置 (BYOD) | 用戶擁有並由組織管理的個人裝置。 | 您想要為員工提供便利的方式來檢查班次排程、與同事聊天以瞭解輪班交換,或存取 HR 資源,例如其 Paystub。 從成本或業務整備觀點來看,共用裝置或專用裝置可能不切實際。 |
個人裝置的作業系統、記憶體和連線能力各不相同。 個人裝置的使用可能與聯合規則或政府法規有關。 某些背景工作可能無法可靠地存取個人行動裝置。 |
專用裝置1 | 由貴組織擁有和管理並發行給單一用戶的裝置。 | 背景工作角色需要專用電話號碼才能接聽電話和文字。 組織需要完全控制裝置及其使用方式。 |
專用硬體的成本。 在欄位位置中,新增推出和支援複雜度的工作可能不可行。 |
Kiosk 裝置2 | 組織所擁有和管理的裝置。 使用者不需要登入或註銷。 | 裝置有專用用途。 使用案例不需要用戶驗證。 |
共同作業、通訊、工作和工作流程應用程式需要使用者身分識別才能運作。 無法稽核用戶活動。 無法使用某些安全性功能,包括 MFA。 |
1專用裝置在一線部署中並不常見,主要原因是在高員工流失的情況下,高成本和投入心力進行管理。
阿拉伯數位不建議使用 Kiosk 裝置部署,因為它們不允許使用者稽核和使用者型安全性功能,例如多重要素驗證。
深入瞭解 kiosk 裝置。
在本文中,我們著重於共用裝置和 BYOD,因為這些是符合大部分第一線部署之實際需求的部署模型。 如需規劃考慮和管理功能的概觀,請繼續閱讀。
裝置作業系統
您選擇的部署模型會部分決定您支援的裝置作業系統。 例如:
- 如果您實作共用裝置模型,您選擇的裝置作業系統會決定可用的功能。 例如,Windows 裝置原本就支援儲存多個使用者配置檔以進行自動登入和使用 Windows Hello 進行簡單驗證的能力。 使用 Android 和 iOS 時,會套用更多步驟和必要條件。
- 如果您實作 BYOD 模型,則必須同時支援 Android 和 iOS 裝置。
裝置 OS | 考量 |
---|---|
Android | 將多個使用者配置檔儲存在裝置上的原生功能有限。 Android 裝置可以在共用裝置模式中註冊,以自動化單一登錄和註銷,並以條件式存取原則為目標。 強固的控件和 API 管理。 為第一線使用而建置的現有裝置生態系統。 |
iOS 和 iPadOS | iOS 裝置可以在共用裝置模式中註冊,以自動化單一登錄和註銷。 您可以使用共用 iPad for Business 在 iPadOS 裝置上儲存多個使用者設定檔。 |
Windows | 在裝置上儲存多個使用者配置檔的原生支援。 支援無密碼驗證的 Windows Hello。 與 Microsoft Intune 一起使用時,簡化了部署和管理功能。 |
裝置環境
當您規劃裝置部署時,有多個介面區的考慮。 本節說明要熟悉的橫向和詞彙。
行動裝置管理
行動裝置管理 (MDM) 解決方案,例如 Microsoft Intune、簡化裝置的部署、管理和監視。
裝置只能在一個 MDM 解決方案中註冊,但您可以使用多個 MDM 解決方案來管理個別的裝置集區。 例如,您可以針對共享裝置使用 VMware 工作區 ONE 或 SOTI MobiControl,並針對 BYOD 使用 Intune。 如果您使用多個 MDM 解決方案,請記住,某些使用者可能無法存取共用裝置,因為條件式存取原則或行動應用程式管理 (MAM) 原則不相符。
如果您使用第三方 MDM 解決方案,您可以與 Intune 合作夥伴合規性整合,以利用第三方 MDM 解決方案所管理裝置的條件式存取。
適用於 Android 裝置的應用程式啟動器
應用程式啟動器是一種應用程式,可讓您使用自定義的啟動畫面,例如應用程式、背景圖案和圖示位置,為您的第一線提供專注的體驗。 您只能顯示一線員工需要使用的相關應用程式,以及醒目提示重要資訊的小工具。
大部分的 MDM 解決方案都提供自己的應用程式啟動器。 例如,Microsoft Intune 提供Microsoft 受控主畫面應用程式。 您也可以建置自己的自訂啟動器。
下表列出目前由Microsoft和第三方開發人員為Android裝置提供的一些最常見應用程式啟動器。
應用程式啟動器 | 功能 |
---|---|
Microsoft 受控主畫面 | 當您希望使用者能夠存取 Intune 註冊專用裝置上的一組特定應用程式時,請使用 受控主畫面。 因為 受控主畫面 可以自動啟動為裝置上的預設主畫面,並讓用戶顯示為唯一的首頁畫面,所以在需要鎖定體驗時,在共用裝置案例中會很有用。 深入了解。 |
VMware 工作區 ONE 啟動器 | 如果您使用 VMware,工作區 ONE 啟動器是一種工具,可用來策劃一組您的第一線需要存取的應用程式。 VMware 工作區 ONE 啟動器目前不支援共用裝置模式。 深入了解。 |
SOTI | 如果您使用SOTI,SOTI應用程式啟動器是策劃一組您第一線需要存取之應用程式的最佳工具。 SOTI 應用程式啟動器目前支援共用裝置模式。 |
BlueFletch | 不論您的 MDM 解決方案為何,BlueFletch Launcher 都可以在裝置上使用。 BlueFletch 目前支援共用裝置模式。 深入了解。 |
自訂應用程式啟動器 | 如果您想要完全自定義的體驗,您可以建置自己的自定義應用程式啟動器。 您可以將啟動器與共用裝置模式整合,讓使用者只需要登入和註銷一次。 |
身分識別管理
Microsoft 365 for frontline workers 使用 Microsoft Entra ID 作為基礎身分識別服務,以傳遞及保護所有應用程式和資源。 用戶必須具有存在於 Microsoft Entra ID 中的身分識別,才能存取Microsoft 365 應用程式。
如果您選擇使用 Active Directory 網域服務 (AD DS) 或第三方身分識別提供者來管理一線使用者身分識別,您必須將這些身分識別同盟以 Microsoft Entra ID。 瞭解如何整合您的第三方服務與 Microsoft Entra ID。
管理一線身分識別的可能實作模式包括:
- Microsoft Entra 獨立:您的組織會在 Microsoft Entra ID 中建立和管理使用者、裝置和應用程式身分識別,作為第一線工作負載的獨立身分識別解決方案。 建議使用此實作模式,因為它可簡化您的第一線部署架構,並在使用者登入期間將效能最大化。
- Active Directory 網域服務 (AD DS) 與 Microsoft Entra ID 整合:Microsoft提供 Microsoft Entra Connect 來加入這兩個環境。 Microsoft Entra Connect 會將 Active Directory 使用者帳戶複寫至 Microsoft Entra ID,讓使用者擁有能夠存取本機和雲端式資源的單一身分識別。 雖然 AD DS 和 Microsoft Entra ID 都可以作為獨立的目錄環境存在,但您可以選擇建立混合式目錄。
- 第三方身分識別解決方案與 Microsoft Entra ID 同步:Microsoft Entra ID 支援透過同盟與 Okta 和 Ping 身分識別等第三方身分識別提供者整合。 深入瞭解如何使用第三方身分識別提供者。
HR 驅動的使用者布建
自動化使用者布建是組織的實際需求,這些組織希望第一線員工能夠存取第一天的應用程式和資源。 從安全性觀點來看,在員工離線期間自動取消布建也很重要,以確保先前的員工不會保留對公司資源的存取權。
Microsoft Entra 使用者布建服務與雲端式和內部部署 HR 應用程式整合,例如 Workday 和 SAP SuccessFactors。 您可以設定服務,在 HR 系統中建立或停用員工時,自動布建和取消布建使用者。
若要深入了解,請參閱:
使用 [我的員工] 委派使用者管理
透過 Microsoft Entra ID 中的 [我的員工] 功能,您可以透過 [我的員工] 入口網站,將一般使用者管理工作委派給一線管理員。 前線管理者可以直接從商店或工廠為前線工作者重設密碼或管理電話號碼,而無需將要求傳送至技術服務人員、營運部或 IT 部門。
[我的員工] 還可以讓前線管理者註冊其小組成員的電話號碼,以透過簡訊登入。 如果貴組織中啟用了 簡訊型驗證,那麼前線工作者只需使用其電話號碼和透過簡訊傳送的一次性密碼即可登入 Teams 和其他應用程式。 這可讓一線員工的登入變得簡單又快速。
共用裝置模式
透過 Microsoft Entra ID 的共用裝置模式功能,您可以設定要由員工共用的裝置。 此功能可為 Teams 以及支援共用裝置模式的所有其他應用程式啟用單一登入 (SSO) 和全裝置登出。
以下是共用裝置模式的運作原理,以 Teams 為例。 當員工在班次開始時登入至 Teams 時,他們將自動登入至裝置上支援共用裝置模式的所有其他應用程式。 當他們在輪班結束時註銷 Teams 時,會從支援共用裝置模式的所有其他應用程式註銷。 註銷之後,就無法再存取 Teams 中的員工數據和公司數據,以及支援共用裝置模式的所有其他應用程式。 裝置已準備好供下一位員工使用。
您可以使用 Microsoft 驗證連結庫 (MSAL ) ,將此功能整合到您的企業營運 (LOB) 應用程式。
驗證
驗證功能可控制誰或哪些人使用帳戶來取得應用程式、數據和資源的存取權。
如先前所述,Microsoft 365 for frontline workers 使用 Microsoft Entra ID 作為基礎身分識別服務,來保護Microsoft 365 應用程式和資源。 若要深入瞭解 Microsoft Entra ID 中的驗證,請參閱什麼是 Microsoft Entra 驗證?和哪些驗證和驗證方法可用於 Microsoft Entra ID?。
多重要素驗證
Microsoft Entra 多重要素驗證 (MFA) 在登入時需要下列兩個或多個驗證方法來運作:
- 使用者知道的一些資訊,通常是密碼。
- 用戶擁有的裝置,例如不容易複製的信任裝置,例如電話或硬體密鑰。
- 使用者的身分 - 生物特徵辨識,例如指紋或臉部掃描。
MFA 支援數種形式的驗證方法,包括Microsoft驗證器應用程式、FIDO2 金鑰、SMS 和語音通話。
MFA 為應用程式和數據提供高層級的安全性,但會增加使用者登入的摩擦。 對於選擇 BYOD 部署的組織而言,MFA 可能是可行的選項。 強烈建議商務和技術小組在廣泛推出之前,先驗證 MFA 的用戶體驗,以便在變更管理和整備工作中正確考慮用戶的影響。
如果您的組織或部署模型無法使用 MFA,您應該規劃使用健全的條件式存取原則來降低安全性風險。
無密碼驗證
若要進一步簡化第一線員工的存取,您可以使用無密碼驗證方法,讓員工不需要記住或輸入其密碼。 無密碼驗證方法會移除在登入時使用密碼的功能,並將它取代為:
- 用戶擁有的專案,例如電話或安全性密鑰。
- 使用者知道或知道的事物,例如生物特徵辨識或 PIN。
無密碼驗證方法通常也會更安全,而且許多方法都可以在必要時滿足 MFA 需求。
繼續使用無密碼驗證方法之前,請先判斷它是否可以在您現有的環境中運作。 成本、OS 支援、個人裝置需求和 MFA 支援等考慮可能會影響驗證方法是否適用於您的需求。
請參閱下表,以評估一線案例的無密碼驗證方法。
方法 | OS 支援 | 需要個人裝置 | 支援 MFA |
---|---|---|---|
Microsoft Authenticator | 全部 | 是 | 是 |
SMS 登入 | Android 和iOS | 是 | 否 |
Windows Hello | Windows | 否 | 是 |
FIDO2 金鑰 | Windows | 否 | 是 |
若要深入瞭解,請參閱適用於 Microsoft Entra ID 的無密碼驗證選項和使用 Microsoft Entra ID 設定及啟用使用者以 SMS 為基礎的驗證。
授權
授權功能可控制已驗證的使用者可以執行或存取的專案。 在 Microsoft 365 中,這是透過 Microsoft Entra 條件式存取原則和應用程式保護原則的組合來達成。
實作強固的授權控制是保護一線共用裝置部署的重要元件,特別是如果基於成本或實際性原因,無法實作 MFA 之類的強式驗證方法時。
Microsoft Entra 條件式存取
使用條件式存取,您可以根據下列訊號建立限制存取的規則:
- 使用者或群組成員資格
- IP 位置資訊
- 裝置 (只有在裝置已在 Microsoft Entra ID) 中註冊時才能使用
- 應用程式
- 即時和計算的風險偵測
當使用者在不符合規範的裝置上,或是在不受信任的網路上時,可以使用條件式存取原則來封鎖存取。 例如,您可能想要使用條件式存取來防止使用者在不在工作網路上或使用非受控裝置時存取清查應用程式,視貴組織對適用法律的分析而定。
針對在工作外部存取數據的 BYOD 案例,例如 HR 相關信息、班次管理、交換班次的聊天,或非商務相關的應用程式,您可以選擇實作更寬鬆的條件式存取原則,以及 MFA 等強身份驗證方法。
若要深入瞭解,請參閱 Microsoft Entra 條件式存取檔。
應用程式防護原則
透過行動應用程式管理 (來自 Intune 的 MAM) ,您可以搭配與 Intune App SDK 整合的應用程式使用應用程式保護原則。 這可讓您進一步保護應用程式內的組織數據。
透過應用程式保護原則,您可以新增訪問控制保護措施,例如:
- 控制應用程式之間的資料共用。
- 防止將公司應用程式資料儲存到個人儲存位置。
- 確定裝置的作業系統是最新狀態。
在共用裝置部署中,您可以使用應用程式保護原則來確保資料不會洩漏到不支援共用裝置模式的應用程式。 在 BYOD 案例中,應用程式保護原則很有説明,因為它們可讓您在應用層級保護您的數據,而不需要管理整個裝置。
在一線員工脫班時限制Teams的存取
透過工作時間功能,您可以使用應用程式保護原則來限制 BYOD 或公司擁有專用裝置上輪班員工對 Teams 的存取。 這項功能可讓您封鎖存取,或在一線員工於非工作時間存取 Teams 時顯示警告訊息。
若要深入瞭解,請參閱 在一線員工脫機時限制Teams的存取權。