管理一線員工的共享裝置

• 適用於:

  Microsoft Teams, Microsoft 365 for frontline workers

概觀

許多前線工作者使用共用的行動裝置工作。 共用裝置是指公司擁有的裝置，可在不同工作、班次或位置的員工之間共用。

下方是典型案例的範例。 組織在充電底座中有裝置集區，供所有員工共用。 在班次開始時，員工會從集區挑選裝置，並登入Microsoft Teams 及其角色所需的其他商務應用程式。 在班次結束時，他們登出並將裝置返回至集區中。 即使在同一個班次內，員工也可能在完成工作或簽退吃午飯時返回裝置，然後在再次簽入時拿起另一台裝置。

共用裝置帶來了獨特的安全挑戰。 例如，員工可以存取公司或客戶數據，而這些數據不應該供相同裝置上的其他人使用。 部署共用裝置的組織必須定義登入和註銷體驗，並實作控件，以避免在員工之間遞交裝置時未經授權或非預期地存取應用程式和數據。

本文涵蓋部署和管理共用裝置的功能和考慮，以協助您的一線員工使用完成工作所需的裝置。 使用此指引來協助規劃和管理您的第一線部署。

共用裝置模式

建議您盡可能為一線員工共用 裝置使用共用裝置模式 。

共用裝置模式是Microsoft Entra ID功能，可讓組織設定 Android、iOS 或 iPadOS 裝置，以便讓多位員工輕鬆共用。 員工可以登入一次，並可跨所有支援的應用程式存取其數據，而無須存取其他員工的數據。 當他們完成輪班或工作時，他們會註銷一次，並註銷裝置和所有支援的應用程式，讓裝置準備好供下一位員工使用。

在裝置上啟用共用裝置模式的主要優點

• 單一登錄：允許使用者登入一個支援共用裝置模式的應用程式一次，並在支援共用裝置模式的所有其他應用程式中取得順暢的驗證，而不需要重新輸入認證。 豁免使用者在共用裝置上首次執行體驗畫面。
• 單一註銷：允許用戶輕鬆地從裝置註銷，而不需要從支援共用裝置模式的每個應用程式個別註銷。 提供使用者保證其數據不會不當顯示給後續使用者，因為應用程式可確保已套用清除任何快取的用戶數據和應用程式保護原則。
• 支援使用條件式存取原則強制執行安全性需求：讓系統管理員能夠將共用裝置上的特定條件式存取原則設為目標，確保員工只有在共用裝置符合內部合規性標準時，才能存取公司數據。

開始使用共用裝置模式

您可以使用零觸控佈建，手動或透過行動裝置管理 (MDM) 解決方案，設定共用裝置模式的裝置。 若要深入瞭解，請參閱 共用裝置模式概觀。

開發人員可以使用 MICROSOFT 驗證連結庫 (MSAL) ，將共用裝置模式的支援新增至您的應用程式。 如需如何將應用程式與共用裝置模式整合的詳細資訊，請參閱：

• Android 裝置的共用裝置模式
• 教學課程：在Android應用程式中使用共用裝置模式
• iOS 裝置的共用裝置模式

多重要素驗證

Microsoft MFA (Entra 多重要素驗證) 只會在使用者登入時使用密碼來增加額外的安全性。 MFA 是提升安全性的絕佳方式，不過對於某些具有額外安全性層級的使用者而言，它可能會增加登入體驗的摩擦，而且必須記住其密碼。

請務必在推出之前驗證用戶體驗，以便準備變更管理和整備工作。

如果您的組織無法使用 MFA，您應該規劃實作健全的條件式存取原則，以降低安全性風險。 在共享裝置上未使用 MFA 時要套用的一些常見條件式存取原則包括：

• 裝置合規性
• 信任的網路位置
• 受管理的裝置

請務必評估您想要套用的條件式存取原則和應用程式保護原則，以確保它們符合組織的需求。

無網域登入

您可以在共用和受控裝置上的使用者登入畫面上預先填入功能變數名稱，以簡化適用於 iOS 和 Android 的 Teams 登入體驗。

使用者只要輸入其用戶主體名稱的第一個部分， (UPN) 登入。 例如，如果使用者名稱是 123456@contoso.com 或 alexw@contoso.com，則使用者只能分別使用 「123456」 或 「alexw」 和其密碼來登入。 登入 Teams 的速度更快且更容易，特別是針對共用裝置上的一線員工，他們定期登入和註銷。

您也可以為自定義企業營運 (LOB) 應用程式啟用無網域登入。

深入瞭解無網域登入。

條件式存取

視需要使用 條件式存取 原則來套用正確的控件，以確保組織的安全。 您可以建立規則，根據身分識別驅動的訊號來限制存取，包括：

• 使用者或群組成員資格
• IP 位置資訊
• 裝置 (只有在裝置已註冊 Microsoft Entra ID)
• 應用程式
• 即時和計算的風險偵測

例如，您可以使用條件式存取原則來限制存取，讓只有標示為符合規範的共用裝置才能存取組織的應用程式和服務。 以下是一些可協助您開始使用的資源：

• 規劃條件式存取部署
• 建置條件式存取原則

應用程式防護原則

透過行動應用程式管理 (來自 Intune 的 MAM) ，您可以使用 應用程式保護原則 來確保資料不會洩漏到不支援共用裝置模式的應用程式。 若要協助防止數據遺失，請在共用裝置上啟用下列應用程式保護原則：

• 停用已啟用非共享裝置模式的應用程式的複製/貼上。
• 停用本機檔案儲存。
• 停用已啟用非共享裝置模式應用程式的數據傳輸功能。

自動將裝置功能的同意授與應用程式

在共用裝置上，請務必移除使用者第一次存取應用程式時可能會出現的不必要畫面。 這些畫面可以包含提示，以授與應用程式使用裝置功能的許可權，例如麥克風或相機，或存取位置。 您可以在 Android 共用裝置上的 Intune 中使用應用程式設定原則，預先設定應用程式許可權以存取裝置功能。

如果您使用第三方 MDM 解決方案，請查看檔案中可用的選項，以自動將同意授與應用程式以存取裝置功能。

相關文章

• 第一線員工的裝置管理概觀