Panoramica della gestione dei dispositivi per i lavoratori in prima linea
Panoramica
In ogni settore, i lavoratori in prima linea costituiscono un ampio segmento della forza lavoro. I lavoratori in prima linea includono addetti alla vendita al dettaglio, operai, tecnici sul campo e di assistenza, personale sanitario e molti altri.
Poiché gran parte della forza lavoro svolge attività in movimento e spesso basata su turni, la gestione dei dispositivi usati dai lavoratori in prima linea è fondamentale. Di seguito vengono riportati alcuni aspetti da prendere in considerazione:
- I lavoratori usano dispositivi di proprietà dell'azienda o i propri dispositivi personali?
- I dispositivi di proprietà dell'azienda sono condivisi tra i lavoratori o assegnati a un singolo utente?
- I lavoratori portano i dispositivi a casa o li lasciano sul posto di lavoro?
È importante impostare linee guida conformi e sicure per gestire i dispositivi della forza lavoro, che si tratti di dispositivi condivisi o dispositivi personali dei lavoratori.
Questo articolo offre una panoramica degli scenari comuni dei dispositivi di lavoro in prima linea e delle funzionalità di gestione per aiutare la forza lavoro a proteggere i dati aziendali. Usare le informazioni e le considerazioni per pianificare la distribuzione del dispositivo in prima linea.
Distribuzione del dispositivo
Un passaggio fondamentale nella pianificazione consiste nel determinare come distribuire i dispositivi mobili in prima linea e i sistemi operativi da supportare. Prendere queste decisioni in anticipo in modo da poter valutare la fattibilità del piano di implementazione e dell'infrastruttura IT tenendo presenti questi fattori.
Modelli di distribuzione
I dispositivi condivisi e i dispositivi bring-your-own-device (BYOD) sono i tipi di dispositivo più comunemente usati nelle organizzazioni in prima linea. La tabella seguente elenca questi modelli di distribuzione, insieme ad altri, e considerazioni correlate.
| Tipo di dispositivo | Descrizione | Perché usare | Considerazioni sulla distribuzione |
|---|---|---|---|
| Dispositivi condivisi | Dispositivi di proprietà e gestiti dall'organizzazione. I dipendenti accedono ai dispositivi durante il lavoro. |
La produttività dei lavoratori e l'esperienza del cliente sono una priorità assoluta. I lavoratori non possono accedere alle risorse dell'organizzazione quando non sono al lavoro. Le leggi locali potrebbero impedire l'uso di dispositivi personali per scopi aziendali. |
Definire il modo in cui la prima linea accede e esce dal dispositivo. Provare a usare i criteri di accesso condizionale di Microsoft Entra per proteggere i dispositivi condivisi quando l'autenticazione a più fattori non è un'opzione. |
| Bring-your-own device (BYOD) | Dispositivi personali di proprietà dell'utente e gestiti dall'organizzazione. | Si vuole offrire ai dipendenti un modo pratico per controllare gli orari dei turni, chattare con i colleghi sugli scambi di turni o accedere alle risorse hr come il loro paystub. I dispositivi condivisi o dedicati potrebbero non essere pratici dal punto di vista dei costi o dell'idoneità aziendale. |
I dispositivi personali variano in sistema operativo, archiviazione e connettività. L'uso del dispositivo personale potrebbe essere contro le regole sindacali o le normative governative. Alcuni lavoratori potrebbero non avere accesso affidabile a un dispositivo mobile personale. |
| Dispositivi dedicati1 | Dispositivi di proprietà e gestiti dall'organizzazione e rilasciati a un singolo utente. | Il ruolo di lavoro richiede un numero di telefono dedicato per ricevere chiamate e sms. L'organizzazione richiede il controllo completo sul dispositivo e sul modo in cui i dipendenti lo usano. |
Costo dell'hardware dedicato. Un ulteriore sforzo per l'implementazione e la complessità del supporto potrebbe non essere fattibile nelle posizioni sul campo. |
| Dispositivi tutto schermo2 | Dispositivi di proprietà e gestiti dall'organizzazione. Gli utenti non devono accedere o uscire. | Il dispositivo ha uno scopo dedicato. Il caso d'uso non richiede l'autenticazione dell'utente. |
Per il funzionamento delle app di collaborazione, comunicazione, attività e flusso di lavoro è necessaria un'identità utente. Non è possibile controllare l'attività dell'utente. Non è possibile usare alcune funzionalità di sicurezza, tra cui MFA. |
1I dispositivi dedicati non sono comuni nelle distribuzioni in prima linea principalmente a causa dei costi elevati e dello sforzo di gestione nel contesto di un elevato fatturato del personale.
numero araboLe distribuzioni di dispositivi chiosco multimediale non sono consigliate perché non consentono il controllo degli utenti e le funzionalità di sicurezza basate sull'utente, ad esempio l'autenticazione a più fattori.
Altre informazioni sui dispositivi in modalità tutto schermo.
In questo articolo ci concentriamo sui dispositivi condivisi e su BYOD, in quanto questi sono i modelli di distribuzione che soddisfano le esigenze pratiche della maggior parte delle distribuzioni in prima linea. Per una panoramica delle considerazioni sulla pianificazione e delle funzionalità di gestione, leggere questa pagina.
Sistema operativo del dispositivo
Il modello di distribuzione scelto determina in parte i sistemi operativi del dispositivo supportati. Ad esempio:
- Se si implementa un modello di dispositivi condivisi, il sistema operativo del dispositivo scelto determina le funzionalità disponibili. Ad esempio, i dispositivi Windows supportano in modo nativo la possibilità di archiviare più profili utente per l'accesso automatizzato e l'autenticazione semplice con Windows Hello. Con Android e iOS si applicano altri passaggi e prerequisiti.
- Se si implementa un modello BYOD, è necessario supportare sia i dispositivi Android che iOS.
| Sistema operativo dispositivo | Considerazioni |
|---|---|
| Android |
Funzionalità native limitate per l'archiviazione di più profili utente nei dispositivi. I dispositivi Android possono essere registrati in modalità dispositivo condiviso per automatizzare l'accesso Single Sign-On e la disconnessione e per i criteri di accesso condizionale. Gestione affidabile di controlli e API. Ecosistema esistente di dispositivi creati per l'uso in prima linea. |
| iOS e iPadOS | I dispositivi iOS possono essere registrati in modalità dispositivo condiviso per automatizzare l'accesso Single Sign-On e disconnettersi. L'archiviazione di più profili utente nei dispositivi iPadOS è possibile con l'iPad condiviso per le aziende. |
| Windows | Supporto nativo per l'archiviazione di più profili utente nel dispositivo. Supporta Windows Hello per l'autenticazione senza password. Funzionalità di distribuzione e gestione semplificate se usate con Microsoft Intune. |
Paesaggio del dispositivo
Quando si pianifica la distribuzione del dispositivo, esistono considerazioni su più aree di superficie. Questa sezione descrive il panorama e i termini con cui acquisire familiarità.
Gestione dei dispositivi mobili
Le soluzioni di gestione dei dispositivi mobili (MDM), ad esempio Microsoft Intune, semplificano la distribuzione, la gestione e il monitoraggio dei dispositivi.
Un dispositivo può essere registrato solo in una soluzione MDM, ma è possibile usare più soluzioni MDM per gestire pool separati di dispositivi. Ad esempio, è possibile usare VMware Workspace ONE o SOTI MobiControl per i dispositivi condivisi e Intune per BYOD. Se si usano più soluzioni MDM, tenere presente che alcuni utenti potrebbero non essere in grado di accedere ai dispositivi condivisi a causa di una mancata corrispondenza nei criteri di accesso condizionale o nei criteri di gestione delle applicazioni mobili (MAM).
Se si usa una soluzione MDM di terze parti, è possibile integrarsi con la conformità dei partner di Intune per sfruttare l'accesso condizionale per i dispositivi gestiti da soluzioni MDM di terze parti.
Utilità di avvio delle app per dispositivi Android
Un'icona di avvio delle app è un'app che consente di offrire un'esperienza incentrata sulla prima linea con una schermata di avvio personalizzata, ad esempio app, sfondo e posizioni delle icone. È possibile visualizzare solo le app rilevanti che i lavoratori in prima linea devono usare e widget che evidenziano le informazioni chiave.
La maggior parte delle soluzioni MDM offre un'icona di avvio delle app personalizzata. Ad esempio, Microsoft Intune fornisce l'app Microsoft Managed Home Screen. È anche possibile creare un programma di avvio personalizzato.
La tabella seguente elenca alcune delle utilità di avvio delle app più comuni attualmente disponibili per i dispositivi Android da Microsoft e sviluppatori di terze parti.
| Icona di avvio delle app | Funzionalità |
|---|---|
| Schermata iniziale gestita da Microsoft | Usare La schermata iniziale gestita quando si vuole che gli utenti abbiano accesso a un set specifico di app nei dispositivi dedicati registrati in Intune. Poiché la schermata iniziale gestita può essere avviata automaticamente come schermata iniziale predefinita nel dispositivo e viene visualizzata all'utente come unica schermata iniziale, è utile negli scenari di dispositivi condivisi quando è necessaria un'esperienza di blocco. Altre informazioni. |
| Utilità di avvio di VMware Workspace ONE | Se si usa VMware, Workspace ONE Launcher è uno strumento per gestire un set di app a cui la prima linea deve accedere. VMware Workspace ONE Launcher non supporta attualmente la modalità dispositivo condiviso. Altre informazioni. |
| SOTI | Se si usa SOTI, l'utilità di avvio delle app SOTI è lo strumento migliore per gestire un set di app a cui la prima linea deve accedere. L'utilità di avvio delle app SOTI supporta attualmente la modalità dispositivo condiviso. |
| BlueFletch | BlueFletch Launcher può essere usato nei dispositivi, indipendentemente dalla soluzione MDM. BlueFletch supporta oggi la modalità dispositivo condiviso. Altre informazioni. |
| Icona di avvio app personalizzata | Se si vuole un'esperienza completamente personalizzata, è possibile creare un'icona di avvio delle app personalizzata. È possibile integrare l'utilità di avvio con la modalità dispositivo condiviso in modo che gli utenti debbano accedere e disconnettersi una sola volta. |
Gestione delle identità
Microsoft 365 per i lavoratori in prima linea usa Microsoft Entra ID come servizio di identità sottostante per la distribuzione e la protezione di tutte le app e le risorse. Gli utenti devono avere un'identità presente nell'ID Microsoft Entra per accedere alle app di Microsoft 365.
Se si sceglie di gestire le identità utente in prima linea con Active Directory Domain Services (AD DS) o un provider di identità di terze parti, sarà necessario federatare queste identità con l'ID Microsoft Entra. Informazioni su come integrare il servizio di terze parti con Microsoft Entra ID.
I possibili modelli di implementazione per la gestione delle identità in prima linea includono:
- Microsoft Entra autonomo: L'organizzazione crea e gestisce le identità di utenti, dispositivi e app in Microsoft Entra ID come soluzione di identità autonoma per i carichi di lavoro in prima linea. Questo modello di implementazione è consigliato perché semplifica l'architettura di distribuzione in prima linea e ottimizza le prestazioni durante l'accesso dell'utente.
- Integrazione di Active Directory Domain Services (AD DS) con l'ID Microsoft Entra: Microsoft fornisce Microsoft Entra Connect per l'aggiunta a questi due ambienti. Microsoft Entra Connect replica gli account utente di Active Directory in Microsoft Entra ID, consentendo a un utente di avere una singola identità in grado di accedere alle risorse locali e basate sul cloud. Sebbene sia Active Directory Domain Services che Microsoft Entra ID possano esistere come ambienti di directory indipendenti, è possibile scegliere di creare directory ibride.
- Sincronizzazione della soluzione di identità di terze parti con l'ID Microsoft Entra: Microsoft Entra ID supporta l'integrazione con provider di identità di terze parti, ad esempio Okta e Ping Identity tramite la federazione. Altre informazioni sull'uso di provider di identità di terze parti.
Provisioning utenti con risorse umane
L'automazione del provisioning degli utenti è una necessità pratica per le organizzazioni che vogliono che i dipendenti in prima linea possano accedere ad app e risorse il primo giorno. Dal punto di vista della sicurezza, è anche importante automatizzare il deprovisioning durante l'offboarding dei dipendenti per garantire che i dipendenti precedenti non mantengano l'accesso alle risorse aziendali.
Il servizio di provisioning utenti di Microsoft Entra si integra con le app HR locali e basate sul cloud, ad esempio Workday e SAP SuccessFactors. È possibile configurare il servizio per automatizzare il provisioning e il deprovisioning degli utenti quando un dipendente viene creato o disabilitato nel sistema hr.
Per altre informazioni, vedere:
- Che cos'è il provisioning basato sulle risorse umane con Microsoft Entra ID?
- Pianificare una distribuzione di provisioning utenti automatica per l'ID Microsoft Entra
Delegare la gestione degli utenti con Personale personale
Con la funzionalità Personale personale in Microsoft Entra ID, è possibile delegare le attività di gestione degli utenti comuni ai responsabili in prima linea tramite il portale Personale personale. I responsabili in prima linea possono eseguire la reimpostazione delle password o gestire i numeri di telefono per i lavoratori in prima linea direttamente dal punto vendita o dal piano di produzione, senza dover instradare le richieste a helpdesk, operazioni o IT.
Il mio staff consente inoltre ai manager in prima linea di registrare i numeri di telefono dei membri del team per l'accesso tramite SMS. Se nell'organizzazione viene abilitata l'autenticazione basata su SMS, i lavoratori in prima linea possono accedere a Teams e ad altre app usando solo i numeri di telefono e un passcode monouso inviato tramite SMS. In questo modo, l'accesso per i lavoratori in prima linea è semplice e veloce.
Modalità dispositivo condiviso
Con la funzionalità modalità dispositivo condiviso di Microsoft Entra ID, è possibile configurare i dispositivi per la condivisione da parte dei dipendenti. Questa funzionalità abilita l'accesso Single Sign-On (SSO) e l'disconnessione a livello di dispositivo per Teams e tutte le altre app che supportano la modalità dispositivo condiviso.
Ecco come funziona la modalità dispositivo condiviso, usando Teams come esempio. Quando un dipendente accede a Teams all'inizio del turno, automaticamente accede a tutte le altre app che supportano la modalità dispositivo condiviso. Quando si disconnettono da Teams alla fine del turno, vengono disconnetteti da tutte le altre app che supportano la modalità dispositivo condiviso. Dopo la disconnessione, i dati del dipendente e i dati aziendali in Teams e in tutte le altre app che supportano la modalità dispositivo condiviso non sono più accessibili. Il dispositivo è pronto per l'uso da parte del dipendente successivo.
È possibile integrare questa funzionalità nelle app line-of-business (LOB) usando Microsoft Authentication Library (MSAL).
Autenticazione
Le funzionalità di autenticazione controllano chi o cosa usa un account per ottenere l'accesso ad applicazioni, dati e risorse.
Come accennato in precedenza, Microsoft 365 per i lavoratori in prima linea usa Microsoft Entra ID come servizio di identità sottostante per proteggere le app e le risorse di Microsoft 365. Per altre informazioni sull'autenticazione in Microsoft Entra ID, vedere Che cos'è l'autenticazione di Microsoft Entra? e Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?.
Autenticazione a più fattori
Microsoft Entra multifactor authentication (MFA) funziona richiedendo due o più dei metodi di autenticazione seguenti all'accesso:
- Qualcosa che l'utente conosce, in genere una password.
- Qualcosa che l'utente ha, ad esempio un dispositivo attendibile che non è facilmente duplicato, come un telefono o una chiave hardware.
- Qualcosa che l'utente è : biometria come un'impronta digitale o una scansione del viso.
MFA supporta diverse forme di metodi di verifica, tra cui l'app Microsoft Authenticator, le chiavi FIDO2, gli SMS e le chiamate vocali.
L'autenticazione a più fattori offre un livello elevato di sicurezza per app e dati, ma aggiunge problemi all'accesso dell'utente. Per le organizzazioni che scelgono distribuzioni BYOD, L'autenticazione a più fattori potrebbe essere o meno un'opzione pratica. È consigliabile che i team aziendali e tecnici convalidino l'esperienza utente con MFA prima di un'implementazione generale, in modo che l'impatto dell'utente possa essere considerato correttamente nella gestione delle modifiche e nelle attività di preparazione.
Se l'autenticazione a più fattori non è fattibile per l'organizzazione o il modello di distribuzione, è consigliabile pianificare l'uso di criteri di accesso condizionale affidabili per ridurre i rischi per la sicurezza.
Autenticazione senza password
Per semplificare ulteriormente l'accesso per la forza lavoro in prima linea, è possibile usare metodi di autenticazione senza password in modo che i lavoratori non debbano ricordare o immettere le password. I metodi di autenticazione senza password rimuovono l'uso di una password all'accesso e la sostituiscono con:
- Qualcosa che l'utente ha, ad esempio un telefono o una chiave di sicurezza.
- Qualcosa che l'utente è o conosce, come la biometria o un PIN.
Anche i metodi di autenticazione senza password sono in genere più sicuri e molti possono soddisfare i requisiti di autenticazione a più fattori, se necessario.
Prima di procedere con un metodo di autenticazione senza password, determinare se può funzionare nell'ambiente esistente. Considerazioni come il costo, il supporto del sistema operativo, il requisito del dispositivo personale e il supporto MFA possono influire sul funzionamento di un metodo di autenticazione in base alle proprie esigenze.
Vedere la tabella seguente per valutare i metodi di autenticazione senza password per lo scenario in prima linea.
| Metodo | Supporto del sistema operativo | Richiede un dispositivo personale | Supporta l'autenticazione a più fattori |
|---|---|---|---|
| Microsoft Authenticator | Tutti | Sì | Sì |
| Accesso SMS | Android e iOS | Sì | No |
| Windows Hello | Windows | No | Sì |
| Chiave FIDO2 | Windows | No | Sì |
Per altre informazioni, vedere Opzioni di autenticazione senza password per l'ID Microsoft Entrae Configurare e abilitare gli utenti per l'autenticazione basata su SMS usando l'ID Microsoft Entra.
Autorizzazione
Le funzionalità di autorizzazione controllano le operazioni che un utente autenticato può eseguire o accedere. In Microsoft 365 questo risultato viene ottenuto tramite una combinazione di criteri di accesso condizionale di Microsoft Entra e criteri di protezione delle app.
L'implementazione di controlli di autorizzazione affidabili è un componente fondamentale per la protezione di una distribuzione di dispositivi condivisi in prima linea, in particolare se non è possibile implementare metodi di autenticazione avanzata come MFA per motivi di costo o praticità.
Accesso condizionale di Microsoft Entra
Con l'accesso condizionale è possibile creare regole che limitano l'accesso in base ai segnali seguenti:
- Appartenenza a utenti o gruppi
- Informazioni sulla posizione IP
- Dispositivo (disponibile solo se il dispositivo è registrato in Microsoft Entra ID)
- App
- Rilevamento dei rischi calcolato e in tempo reale
I criteri di accesso condizionale possono essere usati per bloccare l'accesso quando un utente si trova in un dispositivo non conforme o mentre si trova in una rete non attendibile. Ad esempio, è possibile usare l'accesso condizionale per impedire agli utenti di accedere a un'app di inventario quando non si trovano nella rete aziendale o usano un dispositivo non gestito, a seconda dell'analisi delle leggi applicabili da parte dell'organizzazione.
Per gli scenari BYOD in cui è opportuno accedere a dati esterni al lavoro, ad esempio informazioni relative alle risorse umane, gestione dei turni, chat sullo scambio di turni o app non correlate all'azienda, è possibile scegliere di implementare criteri di accesso condizionale più permissivi insieme a metodi di autenticazione avanzata come MFA.
Per altre informazioni, vedere la documentazione relativa all'accesso condizionale di Microsoft Entra.
Criteri di protezione delle app
Con la gestione delle applicazioni mobili (MAM) di Intune, è possibile usare i criteri di protezione delle app con le app integrate con Intune App SDK. Ciò consente di proteggere ulteriormente i dati dell'organizzazione all'interno di un'app.
Con i criteri di protezione delle app, è possibile aggiungere misure di sicurezza per il controllo di accesso, ad esempio:
- Controllare la condivisione dei dati tra le app.
- Impedire il salvataggio dei dati dell'app aziendale in una posizione di archiviazione personale.
- Verificare che il sistema operativo del dispositivo sia aggiornato.
In una distribuzione di dispositivi condivisi, è possibile usare i criteri di protezione delle app per assicurarsi che i dati non vengano persi nelle app che non supportano la modalità dispositivo condiviso. Negli scenari BYOD i criteri di protezione delle app sono utili perché consentono di proteggere i dati a livello di app senza dover gestire l'intero dispositivo.