現場担当者の共有デバイスを管理する
概要
多くの現場担当者は、共有のモバイル デバイスを使用して作業を行います。 共有デバイスは、会社所有のデバイスであり、タスク、シフト、または場所をまたいで従業員間で共有されます。
ここでは、一般的なシナリオの例を紹介します。 組織には、充電クレードルにすべての従業員間で共有されるデバイスのプールがあります。 シフトの開始時に、従業員はプールからデバイスを取得し、役割に不可欠なMicrosoft Teamsやその他のビジネス アプリにサインインします。 シフトの終了時に、サインアウトしてデバイスをプールに返します。 同じシフト内でも、従業員は、タスクが完了したときにデバイスを返すや、昼食のために退勤してから、別のデバイスを取り出す場合があります。
共有デバイスには、ユニークなセキュリティ上の課題があります。 たとえば、従業員は、同じデバイス上の他のユーザーが利用できない会社または顧客のデータにアクセスできる場合があります。 共有デバイスを展開する組織は、サインインとサインアウトのエクスペリエンスを定義し、従業員間でデバイスを引き渡すときに、アプリやデータへの不正なアクセスや意図しないアクセスを防ぐための制御を実装する必要があります。
この記事では、共有デバイスの展開と管理に関する機能と考慮事項について説明します。これは、現場の従業員が作業を完了するために必要なデバイスを支援するのに役立ちます。 このガイダンスは、現場展開の計画と管理に役立ちます。
共有デバイス モード
可能な限り、現場担当者 の共有デバイス に共有デバイス モードを使用することをお勧めします。
共有デバイス モードは、組織が Android、iOS、または iPadOS デバイスを構成して、複数の従業員が簡単に共有できるようにする Microsoft Entra ID 機能です。 従業員は、他の従業員のデータにアクセスすることなく、一度サインインし、サポートされているすべてのアプリでデータにアクセスできます。 シフトまたはタスクが完了すると、1 回サインアウトし、デバイスとサポートされているすべてのアプリからサインアウトされ、デバイスは次の従業員が使用できるようになります。
デバイスで共有デバイス モードを有効にする主な利点
- シングル サインオン: ユーザーが共有デバイス モードを 1 回サポートする 1 つのアプリにサインインし、資格情報を再入力することなく、共有デバイス モードをサポートする他のすべてのアプリにシームレスな認証を行うことができます。 共有デバイス上の初回実行エクスペリエンス画面からユーザーを除外します。
- シングル サインアウト: 共有デバイス モードをサポートする各アプリから個別にサインアウトする必要なく、ユーザーがデバイスから簡単にサインアウトできるようにします。 キャッシュされたユーザー データとアプリ保護ポリシーがアプリによって確実にクリーンアップされることを考えると、データが後続のユーザーに不適切に表示されないというユーザーの保証を提供します。
- 条件付きアクセス ポリシーを使用したセキュリティ要件の適用のサポート: 管理者は、共有デバイス上の特定の条件付きアクセス ポリシーをターゲットにする機能を提供し、共有デバイスが内部コンプライアンス標準を満たしている場合にのみ従業員が会社のデータにアクセスできるようにします。
共有デバイス モードの概要
ゼロタッチ プロビジョニングを使用して、共有デバイス モードのデバイスを手動またはモバイル デバイス管理 (MDM) ソリューションを使用して設定できます。 詳細については、「 共有デバイス モードの概要」を参照してください。
開発者は、Microsoft 認証ライブラリ (MSAL) を使用して、共有デバイス モードのサポートをアプリに追加できます。 アプリを共有デバイス モードと統合する方法の詳細については、次を参照してください。
多要素認証
Microsoft Entra 多要素認証 (MFA) は 、ユーザーがサインインするときにパスワードのみを使用してセキュリティを強化します。 MFA はセキュリティを強化する優れた方法ですが、パスワードを覚えておく必要に加えて、セキュリティの追加レイヤーを持つ一部のユーザーのサインイン エクスペリエンスに摩擦が生じる可能性があります。
変更管理と準備作業を準備できるように、ロールアウトの前にユーザー エクスペリエンスを検証することが重要です。
組織で MFA が実現できない場合は、セキュリティ リスクを軽減するために、堅牢な条件付きアクセス ポリシーを実装することを計画する必要があります。 MFA が共有デバイスで使用されていない場合に適用される一般的な条件付きアクセス ポリシーには、次のようなものがあります。
- デバイスのコンプライアンス
- 信頼されたネットワークの場所
- デバイスが管理されている
適用する条件付きアクセス ポリシーとアプリ保護ポリシーを評価して、組織のニーズを満たしていることを確認してください。
ドメインレス サインイン
共有デバイスと管理対象デバイスのユーザーのサインイン画面でドメイン名を事前入力することで、Teams for iOS および Android でのサインイン エクスペリエンスを簡略化できます。
ユーザーは、ユーザー プリンシパル名 (UPN) の最初の部分のみを入力してサインインします。 たとえば、ユーザー名が 123456@contoso.com または alexw@contoso.comの場合、ユーザーは、それぞれ "123456" または "alexw" とパスワードのみを使用してサインインできます。 Teams へのサインインは、特に、定期的にサインインおよびサインアウトする共有デバイス上の現場担当者にとって、より迅速かつ簡単です。
カスタム基幹業務 (LOB) アプリのドメインレス サインインを有効にすることもできます。
ドメインレス サインインの詳細については、こちらをご覧ください。
条件付きアクセス
条件付きアクセス ポリシーを使用して、組織のセキュリティを維持するために必要なときに適切なコントロールを適用します。 次のような ID ドリブンシグナルに基づいてアクセスを制限するルールを作成できます。
- ユーザーまたはグループのメンバーシップ
- IP 位置情報
- デバイス (デバイスが Microsoft Entra ID に登録されている場合にのみ使用できます)
- アプリ
- リアルタイムおよび計算されたリスク検出
たとえば、条件付きアクセス ポリシーを使用してアクセスを制限し、準拠としてマークされている共有デバイスのみが組織のアプリやサービスにアクセスできるようにすることができます。 開始に役立つリソースを次に示します。
アプリ保護ポリシー
Intune からのモバイル アプリケーション管理 (MAM) を使用すると、 アプリ保護ポリシー を使用して、共有デバイス モードをサポートしていないアプリにデータが漏洩しないようにすることができます。 データ損失を防ぐために、共有デバイスで次のアプリ保護ポリシーを有効にします。
- 共有デバイス モードが有効になっていないアプリへのコピー/貼り付けを無効にします。
- ローカル ファイルの保存を無効にします。
- 共有されていないデバイス モードが有効なアプリへのデータ転送機能を無効にします。
デバイス機能のアプリへの同意を自動的に付与する
共有デバイスでは、ユーザーが初めてアプリにアクセスしたときにポップアップする可能性がある不要な画面を削除することが重要です。 これらの画面には、マイクやカメラなどのデバイス機能やアクセス場所を使用するためのアクセス許可をアプリに付与するプロンプトが含まれる場合があります。 Android 共有デバイス の Intune のアプリ構成ポリシーを 使用して、デバイス機能にアクセスするためのアプリのアクセス許可を事前に構成できます。
サード パーティの MDM ソリューションを使用している場合は、デバイス機能にアクセスするための同意をアプリに自動的に付与するために使用できるオプションのドキュメントを確認してください。