Introducción a la administración de dispositivos para trabajadores de primera línea
Información general
En todos los sectores, los trabajadores de primera línea constituyen un gran segmento del personal. Los roles de personal de primera línea incluyen asociados comerciales, trabajadores de fábrica, técnicos de campo y servicio, personal sanitario y muchos más.
Dado que el personal es en gran medida móvil y, a menudo, basado en turnos, la administración de los dispositivos que usan los trabajadores de primera línea es fundamental. Algunas preguntas que se deben tener en cuenta:
- ¿Los trabajadores usan dispositivos propiedad de la empresa o sus propios dispositivos personales?
- ¿Los dispositivos propiedad de la empresa se comparten entre los trabajadores o se asignan a un individuo?
- ¿Los trabajadores llevan los dispositivos a casa o los dejan en el lugar de trabajo?
Es importante establecer una base de referencia segura y compatible para administrar los dispositivos de los empleados, tanto si son dispositivos compartidos como si son dispositivos propios de los trabajadores.
En este artículo se proporciona información general sobre escenarios comunes de dispositivos de personal de primera línea y funcionalidades de administración para ayudar a capacitar a los empleados a la vez que protegen los datos de la empresa. Use la información y las consideraciones para ayudar a planear la implementación de dispositivos de primera línea.
Implementación de dispositivos
Un paso clave en el planeamiento es determinar cómo implementará los dispositivos móviles en la primera línea y los sistemas operativos que se van a admitir. Tome estas decisiones por adelantado para que pueda evaluar la viabilidad del plan de implementación y la infraestructura de TI teniendo en cuenta estos factores.
Modelos de implementación
Los dispositivos compartidos y bring-your-own-device (BYOD) son los tipos de dispositivos más utilizados en las organizaciones de primera línea. En la tabla siguiente se enumeran estos modelos de implementación, junto con otros, y consideraciones relacionadas.
| Tipo de dispositivo | Descripción | Por qué usar | Consideraciones de implementación |
|---|---|---|---|
| Dispositivos compartidos | Dispositivos propiedad y administrados por su organización. Los empleados acceden a los dispositivos mientras trabajan. |
La productividad de los trabajadores y la experiencia del cliente son una prioridad máxima. Los trabajadores no pueden acceder a los recursos de la organización cuando no están en el trabajo. Las leyes locales pueden impedir que los dispositivos personales se usen con fines empresariales. |
Defina cómo inicia y cierra sesión en primera línea del dispositivo. Considere la posibilidad de usar Microsoft Entra directivas de acceso condicional para proteger dispositivos compartidos cuando la autenticación multifactor (MFA) no es una opción. |
| Traiga su propio dispositivo (BYOD) | Dispositivos personales propiedad del usuario y administrados por su organización. | Quiere proporcionar a los empleados una manera cómoda de comprobar las programaciones de turnos, chatear con compañeros sobre los intercambios de turnos o acceder a recursos de RR. HH. como su pago. Los dispositivos compartidos o los dispositivos dedicados pueden ser poco prácticos desde una perspectiva de costo o preparación empresarial. |
Los dispositivos personales varían en el sistema operativo, el almacenamiento y la conectividad. El uso de dispositivos personales podría estar en contra de las reglas sindicales o las regulaciones gubernamentales. Es posible que algunos trabajadores no tengan acceso confiable a un dispositivo móvil personal. |
| Dispositivos dedicados1 | Dispositivos propiedad y administrados por su organización y emitidos a un único usuario. | El trabajo requiere un número de teléfono dedicado para recibir llamadas y mensajes de texto. La organización requiere control total sobre el dispositivo y cómo lo usan los empleados. |
Costo del hardware dedicado. Es posible que el esfuerzo agregado para implementar y admitir la complejidad no sea factible en ubicaciones de campo. |
| Dispositivos de pantallacompleta 2 | Dispositivos propiedad y administrados por su organización. Los usuarios no necesitan iniciar o cerrar sesión. | El dispositivo tiene un propósito dedicado. El caso de uso no requiere autenticación de usuario. |
Las aplicaciones de colaboración, comunicación, tarea y flujo de trabajo necesitan una identidad de usuario para funcionar. No es posible auditar la actividad del usuario. No se pueden usar algunas funcionalidades de seguridad, como MFA. |
1Los dispositivos dedicados no son comunes en las implementaciones de primera línea debido principalmente a un alto costo y esfuerzo de administración en el contexto de una alta rotación de personal.
número arábigoLas implementaciones de dispositivos de pantalla completa no se recomiendan porque no permiten la auditoría de usuarios ni funcionalidades de seguridad basadas en el usuario, como la autenticación multifactor.
Obtenga más información sobre los dispositivos de pantalla completa.
En este artículo, nos centramos en dispositivos compartidos y BYOD, ya que estos son los modelos de implementación que se ajustan a las necesidades prácticas de la mayoría de las implementaciones de primera línea. Siga leyendo para obtener información general sobre las consideraciones de planeamiento y las funcionalidades de administración.
Sistema operativo del dispositivo
El modelo de implementación que elija determina parcialmente los sistemas operativos de dispositivo que admite. Por ejemplo:
- Si implementa un modelo de dispositivos compartidos, el sistema operativo del dispositivo que elija determinará las funcionalidades disponibles. Por ejemplo, los dispositivos Windows admiten de forma nativa la capacidad de almacenar varios perfiles de usuario para el inicio de sesión automatizado y la autenticación fácil con Windows Hello. Con Android e iOS, se aplican más pasos y requisitos previos.
- Si implementa un modelo BYOD, deberá admitir dispositivos Android e iOS.
| Sistema operativo del dispositivo | Consideraciones |
|---|---|
| Android |
Capacidades nativas limitadas para almacenar varios perfiles de usuario en dispositivos. Los dispositivos Android se pueden inscribir en modo de dispositivo compartido para automatizar el inicio de sesión único y el cierre de sesión, y las directivas de acceso condicional de destino. Administración sólida de controles y API. Ecosistema existente de dispositivos creados para su uso en primera línea. |
| iOS y iPadOS | Los dispositivos iOS se pueden inscribir en modo de dispositivo compartido para automatizar el inicio de sesión único y el cierre de sesión. El almacenamiento de varios perfiles de usuario en dispositivos iPadOS es posible con iPad compartido para empresas. |
| Windows | Compatibilidad nativa para almacenar varios perfiles de usuario en el dispositivo. Admite Windows Hello para la autenticación sin contraseña. Funcionalidades simplificadas de implementación y administración cuando se usan con Microsoft Intune. |
Horizontal del dispositivo
Al planear la implementación del dispositivo, hay consideraciones en varias áreas expuestas. En esta sección se describe el paisaje y los términos con los que debe familiarizarse.
Administración de dispositivos móviles
Las soluciones de administración de dispositivos móviles (MDM), como Microsoft Intune, simplifican la implementación, administración y supervisión de dispositivos.
Un dispositivo solo se puede inscribir en una solución MDM, pero puede usar varias soluciones MDM para administrar grupos de dispositivos independientes. Por ejemplo, podría usar VMware Workspace ONE o SOTI MobiControl para dispositivos compartidos y Intune para BYOD. Si usa varias soluciones MDM, tenga en cuenta que es posible que algunos usuarios no puedan acceder a dispositivos compartidos debido a una falta de coincidencia en las directivas de acceso condicional o en las directivas de administración de aplicaciones móviles (MAM).
Si usa una solución MDM de terceros, puede integrarse con Intune cumplimiento de asociados para aprovechar el acceso condicional para dispositivos administrados por soluciones MDM de terceros.
Iniciadores de aplicaciones para dispositivos Android
Un iniciador de aplicaciones es una aplicación que te permite proporcionar una experiencia centrada para tu primera línea con una pantalla de inicio personalizada, como aplicaciones, fondos de pantalla y posiciones de icono. Solo puede mostrar las aplicaciones pertinentes que los trabajadores de primera línea necesitan usar y widgets que resaltan la información clave.
La mayoría de las soluciones MDM proporcionan su propio iniciador de aplicaciones. Por ejemplo, Microsoft Intune proporciona la aplicación microsoft Managed Home Screen. También puede crear su propio iniciador personalizado.
En la tabla siguiente se enumeran algunos de los iniciadores de aplicaciones más comunes disponibles hoy en día para dispositivos Android por parte de Microsoft y desarrolladores de terceros.
| Iniciador de aplicaciones | Capacidades |
|---|---|
| Microsoft Managed Home Screen | Use Managed Home Screen cuando desee que los usuarios tengan acceso a un conjunto específico de aplicaciones en los dispositivos dedicados inscritos en Intune. Dado que Managed Home Screen se puede iniciar automáticamente como la pantalla principal predeterminada en el dispositivo y aparece al usuario como la única pantalla principal, es útil en escenarios de dispositivos compartidos cuando se requiere una experiencia bloqueada. Más información. |
| Iniciador de VMware Workspace ONE | Si usa VMware, workspace ONE Launcher es una herramienta para mantener un conjunto de aplicaciones a las que debe tener acceso la primera línea. VMware Workspace ONE Launcher no admite actualmente el modo de dispositivo compartido. Más información. |
| SOTI | Si usa SOTI, el iniciador de aplicaciones SOTI es la mejor herramienta para mantener un conjunto de aplicaciones a las que la primera línea necesita acceder. El iniciador de aplicaciones SOTI admite el modo de dispositivo compartido hoy en día. |
| BlueFletch | BlueFletch Launcher se puede usar en dispositivos, independientemente de la solución MDM. BlueFletch admite el modo de dispositivo compartido hoy en día. Más información. |
| Iniciador de aplicaciones personalizado | Si quieres una experiencia totalmente personalizada, puedes crear tu propio iniciador de aplicaciones personalizado. Puede integrar el iniciador con el modo de dispositivo compartido para que los usuarios solo tengan que iniciar y cerrar sesión una vez. |
Administración de identidades
Microsoft 365 for frontline workers usa Microsoft Entra ID como servicio de identidad subyacente para entregar y proteger todas las aplicaciones y recursos. Los usuarios deben tener una identidad que exista en Microsoft Entra ID para acceder a las aplicaciones de Microsoft 365.
Si decide administrar identidades de usuario de primera línea con Servicios de dominio de Active Directory (AD DS) o un proveedor de identidades de terceros, tendrá que federar estas identidades para Microsoft Entra ID. Obtenga información sobre cómo integrar el servicio de terceros con Microsoft Entra ID.
Los posibles patrones de implementación para administrar identidades de primera línea incluyen:
- Microsoft Entra independiente: su organización crea y administra identidades de usuario, dispositivo y aplicación en Microsoft Entra ID como una solución de identidad independiente para las cargas de trabajo de primera línea. Este patrón de implementación se recomienda, ya que simplifica la arquitectura de implementación de primera línea y maximiza el rendimiento durante el inicio de sesión del usuario.
- integración de Servicios de dominio de Active Directory (AD DS) con Microsoft Entra ID: Microsoft proporciona Microsoft Entra Conectar para unirse a estos dos entornos. Microsoft Entra Connect replica las cuentas de usuario de Active Directory en Microsoft Entra ID, lo que permite a un usuario tener una única identidad capaz de acceder a recursos locales y basados en la nube. Aunque AD DS y Microsoft Entra ID pueden existir como entornos de directorio independientes, puede optar por crear directorios híbridos.
- Sincronización de soluciones de identidad de terceros con Microsoft Entra ID: Microsoft Entra ID admite la integración con proveedores de identidades de terceros, como Okta y Ping Identity a través de la federación. Obtenga más información sobre el uso de proveedores de identidades de terceros.
Aprovisionamiento de usuarios controlados por RR. HH.
Automatizar el aprovisionamiento de usuarios es una necesidad práctica para las organizaciones que quieren que los empleados de primera línea puedan acceder a aplicaciones y recursos en el primer día. Desde una perspectiva de seguridad, también es importante automatizar la desaprovisionamiento durante la retirada de empleados para asegurarse de que los empleados anteriores no conservan el acceso a los recursos de la empresa.
Microsoft Entra servicio de aprovisionamiento de usuarios se integra con aplicaciones de RR. HH. locales y basadas en la nube, como Workday y SAP SuccessFactors. Puede configurar el servicio para automatizar el aprovisionamiento y desaprovisionamiento de usuarios cuando se crea o deshabilita un empleado en el sistema de RR. HH.
Para más información, vea:
- ¿Qué es el aprovisionamiento controlado por RR. HH. con Microsoft Entra ID?
- Planeamiento de una implementación de aprovisionamiento automático de usuarios para Microsoft Entra ID
Delegación de la administración de usuarios con Mi personal
Con la característica Mi personal en Microsoft Entra ID, puede delegar tareas comunes de administración de usuarios a los administradores de primera línea a través del portal Mi personal. Los administradores de primera línea pueden realizar restablecimientos de contraseña o administrar números de teléfono para los trabajadores de primera línea directamente desde la tienda o la fábrica, sin tener que redirigir las solicitudes al departamento de soporte técnico, operaciones o TI.
Mi personal también permite a los jefes de primera línea registrar los números de teléfono de los miembros del equipo para el inicio de sesión por SMS. Si la Autenticación basada en SMS está habilitada en su organización, los trabajadores de primera línea pueden iniciar sesión en Teams y otras aplicaciones usando solo sus números de teléfono y un código de acceso de un solo uso enviado a través de SMS. Esto hace que el inicio de sesión para los trabajadores de primera línea sea sencillo y rápido.
Modo de dispositivo compartido
Con la característica de modo de dispositivo compartido de Microsoft Entra ID, puede configurar los dispositivos para que los compartan los empleados. Esta característica permite el inicio de sesión único (SSO) y el cierre de sesión en todo el dispositivo para Teams y todas las demás aplicaciones que admiten el modo de dispositivo compartido.
Aquí se muestra cómo funciona el modo de dispositivo compartido, usando Teams como ejemplo. Cuando un empleado inicia sesión en Teams al inicio de su turno, inicia sesión automáticamente en todas las demás aplicaciones que admiten el modo de dispositivo compartido en el dispositivo. Cuando cierran la sesión de Teams al final de su turno, se cierran sesión en todas las demás aplicaciones que admiten el modo de dispositivo compartido. Después de cerrar la sesión, ya no se puede acceder a los datos del empleado y a los datos de la empresa en Teams y en todas las demás aplicaciones que admiten el modo de dispositivo compartido. El dispositivo está listo para que el siguiente empleado lo use.
Puede integrar esta funcionalidad en las aplicaciones de línea de negocio (LOB) mediante la Biblioteca de autenticación de Microsoft (MSAL).
Autenticación
Las características de autenticación controlan quién o qué usa una cuenta para obtener acceso a aplicaciones, datos y recursos.
Como se mencionó anteriormente, Microsoft 365 for frontline workers usa Microsoft Entra ID como el servicio de identidad subyacente para proteger aplicaciones y recursos de Microsoft 365. Para obtener más información sobre la autenticación en Microsoft Entra ID, consulte ¿Qué es la autenticación Microsoft Entra? y ¿Qué métodos de autenticación y verificación están disponibles en Microsoft Entra ID?.
Autenticación multifactor
Microsoft Entra autenticación multifactor (MFA) funciona al requerir dos o más de los métodos de autenticación siguientes al iniciar sesión:
- Algo que el usuario sabe, normalmente una contraseña.
- Algo que tiene el usuario, como un dispositivo de confianza que no se duplica fácilmente, como un teléfono o una clave de hardware.
- Algo que el usuario es: biometría como una huella digital o un examen facial.
MFA admite varias formas de métodos de verificación, incluida la aplicación Microsoft Authenticator, las claves FIDO2, los SMS y las llamadas de voz.
MFA proporciona un alto nivel de seguridad para aplicaciones y datos, pero agrega fricción al inicio de sesión del usuario. Para las organizaciones que eligen implementaciones BYOD, MFA podría ser o no una opción práctica. Se recomienda encarecidamente que los equipos técnicos y empresariales validen la experiencia del usuario con MFA antes de un lanzamiento amplio para que el impacto del usuario se pueda considerar correctamente en los esfuerzos de administración de cambios y preparación.
Si MFA no es factible para su organización o modelo de implementación, debe planear el uso de directivas de acceso condicional sólidas para reducir el riesgo de seguridad.
Autenticación sin contraseña
Para simplificar aún más el acceso a los empleados de primera línea, puede usar métodos de autenticación sin contraseña para que los trabajadores no necesiten recordar ni escribir sus contraseñas. Los métodos de autenticación sin contraseña quitan el uso de una contraseña al iniciar sesión y la reemplazan por:
- Algo que el usuario tiene, como un teléfono o una clave de seguridad.
- Algo que el usuario es o sabe, como la biometría o un PIN.
Los métodos de autenticación sin contraseña también suelen ser más seguros y muchos pueden satisfacer los requisitos de MFA si es necesario.
Antes de continuar con un método de autenticación sin contraseña, determine si puede funcionar en el entorno existente. Consideraciones como el costo, la compatibilidad con el sistema operativo, los requisitos de dispositivo personal y la compatibilidad con MFA pueden afectar a si un método de autenticación funcionaría según sus necesidades.
Consulte la tabla siguiente para evaluar los métodos de autenticación sin contraseña para el escenario de primera línea.
| Método | Compatibilidad con el sistema operativo | Requiere un dispositivo personal | Admite MFA |
|---|---|---|---|
| Microsoft Authenticator | todas | Sí | Sí |
| Inicio de sesión de SMS | Android e iOS | Yes | No |
| Windows Hello | Windows | No | Sí |
| Tecla FIDO2 | Windows | No | Sí |
Para más información, consulte Opciones de autenticación sin contraseña para Microsoft Entra ID y Configuración y habilitación de usuarios para la autenticación basada en SMS mediante Microsoft Entra ID.
Autorización
Las características de autorización controlan lo que un usuario autenticado puede hacer o acceder. En Microsoft 365, esto se logra mediante una combinación de Microsoft Entra directivas de acceso condicional y directivas de protección de aplicaciones.
La implementación de controles de autorización sólidos es un componente fundamental para proteger una implementación de dispositivos compartidos de primera línea, especialmente si no es posible implementar métodos de autenticación seguros como MFA por motivos de costo o practicidad.
Microsoft Entra acceso condicional
Con el acceso condicional, puede crear reglas que limiten el acceso en función de las siguientes señales:
- Pertenencia a usuarios o grupos
- Información de ubicación IP
- Dispositivo (solo disponible si el dispositivo está inscrito en Microsoft Entra ID)
- Aplicación
- Detección de riesgos calculados y en tiempo real
Las directivas de acceso condicional se pueden usar para bloquear el acceso cuando un usuario está en un dispositivo no compatible o mientras se encuentra en una red que no es de confianza. Por ejemplo, es posible que quiera usar el acceso condicional para impedir que los usuarios accedan a una aplicación de inventario cuando no están en la red de trabajo o usan un dispositivo no administrado, en función del análisis de las leyes aplicables de su organización.
En escenarios BYOD en los que tiene sentido acceder a datos fuera del trabajo, como información relacionada con RR. HH., administración de turnos, chat sobre el intercambio de turnos o aplicaciones no relacionadas con la empresa, puede optar por implementar directivas de acceso condicional más permisivas junto con métodos de autenticación seguros como MFA.
Para obtener más información, consulte la documentación Microsoft Entra acceso condicional.
Directivas de protección de aplicaciones
Con la administración de aplicaciones móviles (MAM) de Intune, puede usar directivas de protección de aplicaciones con aplicaciones integradas con el SDK de aplicaciones de Intune. Esto le permite proteger aún más los datos de su organización dentro de una aplicación.
Con las directivas de protección de aplicaciones, puede agregar medidas de seguridad de control de acceso, como:
- Controlar el uso compartido de datos entre aplicaciones.
- Impedir el almacenamiento de datos de la aplicación de empresa en una ubicación de almacenamiento personal.
- Asegúrese de que el sistema operativo del dispositivo está actualizado.
En una implementación de dispositivos compartidos, puede usar directivas de protección de aplicaciones para asegurarse de que los datos no se filtran a las aplicaciones que no admiten el modo de dispositivo compartido. En escenarios BYOD, las directivas de protección de aplicaciones son útiles porque permiten proteger los datos en el nivel de aplicación sin tener que administrar todo el dispositivo.
Limitar el acceso a Teams cuando los trabajadores de primera línea están fuera del turno
Con la característica de tiempo de trabajo, puede usar directivas de protección de aplicaciones para limitar el acceso a Teams para los trabajadores por turnos en BYOD o dispositivos dedicados propiedad de la empresa. Esta característica le permite bloquear el acceso o mostrar un mensaje de advertencia cuando los trabajadores de primera línea acceden a Teams durante el tiempo no laborable.
Para obtener más información, consulte Limitar el acceso a Teams cuando los trabajadores de primera línea están fuera del turno.