Управление общими устройствами для сотрудников первой линии

Обзор

Многие сотрудники первой линии используют общие мобильные устройства для работы. Общие устройства — это устройства, принадлежащие компании и совместно используемые сотрудниками для разных задач, смен или расположений.

Вот пример типичного сценария. В организации есть пул устройств в зарядных подставках, которыми могут пользоваться все сотрудники. В начале смены сотрудник берет устройство из пула и входит в Microsoft Teams и другие бизнес-приложения, необходимые для его роли. В конце смены они выходят из системы и возвращают устройство в пул. Даже в пределах одной смены сотрудник может вернуть устройство, когда закончит работу или уйдет на обед, а затем забрать другое по возвращении.

Общие устройства создают уникальные проблемы безопасности. Например, сотрудники могут иметь доступ к данным компании или клиента, которые не должны быть доступны другим пользователям на том же устройстве. Организации, развертывающие общие устройства, должны определить интерфейс входа и выхода и реализовать элементы управления для предотвращения несанкционированного или непреднамеренного доступа к приложениям и данным, когда устройства передаются сотрудникам.

В этой статье рассматриваются возможности и рекомендации по развертыванию общих устройств и управлению ими, которые помогут предоставить сотрудникам переднего плана доступ к устройствам, необходимым для выполнения работы. Используйте это руководство, чтобы спланировать развертывание на первой линии и управлять ими.

Режим общего устройства

Мы рекомендуем по возможности использовать режим общего устройства для общих устройств сотрудников первой линии.

Режим общего устройства — это функция Идентификатора Microsoft Entra, которая позволяет организациям настраивать устройства Android, iOS или iPadOS, чтобы их можно было легко использовать для совместного использования несколькими сотрудниками. Сотрудники могут войти один раз и получить доступ к своим данным во всех поддерживаемых приложениях, не имея доступа к данным других сотрудников. Когда они завершают свою смену или задачу, они выходят один раз и выходят из устройства и всех поддерживаемых приложений, что делает устройство готовым для использования следующим сотрудником.

Основные преимущества включения режима общего устройства на устройствах

  • Единый вход. Разрешите пользователям один вход в одно приложение, которое поддерживает режим общего устройства, и обеспечить беспроблемную проверку подлинности во всех других приложениях, поддерживающих режим общего устройства, без необходимости повторного ввода учетных данных. Исключите пользователей из экранов первого запуска на общих устройствах.
  • Единый выход. Позволяет пользователям легко выйти с устройства без необходимости выходить из каждого приложения, поддерживающего режим общего устройства. Предоставьте пользователям гарантии того, что их данные не будут отображаться ненадлежащим образом для последующих пользователей, учитывая, что приложения обеспечивают очистку любых кэшированных данных пользователей и применяются политики защиты приложений.
  • Поддержка применения требований безопасности с помощью политик условного доступа. Предоставляет администраторам возможность ориентироваться на определенные политики условного доступа на общих устройствах, гарантируя, что сотрудники имеют доступ к корпоративным данным только в том случае, если их общее устройство соответствует внутренним стандартам соответствия требованиям.

Начало работы с режимом общего устройства

Вы можете настроить устройства в режиме общего устройства вручную или с помощью решения для управления мобильными устройствами (MDM), используя подготовку с нуля. Дополнительные сведения см. в статье Общие сведения о режиме общего устройства.

Разработчики могут добавить поддержку режима общего устройства в приложения с помощью библиотеки проверки подлинности Майкрософт (MSAL). Дополнительные сведения об интеграции приложений с режимом общего устройства см. в разделе:

Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) Microsoft Entra обеспечивает дополнительную безопасность только при входе пользователя с помощью пароля. Многофакторная проверка подлинности — это отличный способ повышения безопасности, хотя это может добавить трудности при входе для некоторых пользователей с дополнительным уровнем безопасности, помимо необходимости запоминать пароли.

Перед развертыванием важно проверить пользовательский интерфейс, чтобы подготовиться к работе по управлению изменениями и подготовке к работе.

Если MFA нецелесообразно для вашей организации, следует запланировать реализацию надежных политик условного доступа для снижения риска безопасности. Ниже приведены некоторые распространенные политики условного доступа, применяемые, если MFA не используется на общих устройствах:

  • Соответствие устройства требованиям
  • Надежные сетевые расположения
  • Устройство управляется

Обязательно оцените политики условного доступа и политики защиты приложений, которые вы хотите применить, чтобы убедиться, что они соответствуют потребностям вашей организации.

Вход без домена

Вы можете упростить вход в Teams для iOS и Android, предварительно заполив доменное имя на экране входа для пользователей на общих и управляемых устройствах.

Пользователи входят в систему, вводя только первую часть имени участника-пользователя (UPN). Например, если имя пользователя имеет 123456@contoso.com значение или alexw@contoso.com, пользователи могут войти, используя только "123456" или "alexw", соответственно, и свой пароль. Вход в Teams выполняется быстрее и проще, особенно для сотрудников первой линии на общих устройствах, которые регулярно входят и выходят.

Вы также можете включить вход без домена для пользовательских бизнес-приложений (LOB).

Дополнительные сведения о входе без домена.

Условный доступ

Используйте политики условного доступа , чтобы при необходимости применять правильные элементы управления для обеспечения безопасности организации. Вы можете создавать правила, ограничивающие доступ на основе сигналов, управляемых удостоверениями, которые включают в себя:

  • Пользователь или членство в группе
  • Сведения о расположении IP-адреса
  • Устройство (доступно только в том случае, если устройство зарегистрировано в Идентификаторе Microsoft Entra)
  • Приложение
  • Определение риска в реальном времени и расчет рисков

Например, можно использовать политику условного доступа для ограничения доступа, чтобы только общие устройства, помеченные как соответствующие требованиям, могли получать доступ к приложениям и службам вашей организации. Ниже приведены некоторые ресурсы, которые помогут вам приступить к работе.

Политики защиты приложений

С помощью управления мобильными приложениями (MAM) из Intune можно использовать политики защиты приложений , чтобы предотвратить утечку данных в приложения, которые не поддерживают режим общего устройства. Чтобы предотвратить потерю данных, включите следующие политики защиты приложений на общих устройствах:

  • Отключите копирование и вставку в приложения, не поддерживающие общий режим устройства.
  • Отключите сохранение локального файла.
  • Отключите возможности передачи данных в приложениях с поддержкой режима общего устройства.

На общем устройстве важно удалить ненужные экраны, которые могут появляться при первом доступе пользователя к приложению. Эти экраны могут включать запросы на предоставление приложению разрешения на использование функций устройства, таких как микрофон, камера или расположение доступа. Политики конфигурации приложений в Intune на общих устройствах Android можно использовать для предварительной настройки разрешений приложения на доступ к функциям устройств.

Если вы используете стороннее решение MDM, проверьте в документации доступные варианты автоматического предоставления согласия приложениям на доступ к функциям устройства.