Hantera delade enheter för medarbetare i frontlinjen

Översikt

Många medarbetare i frontlinjen använder delade mobila enheter för att utföra arbete. Delade enheter är företagsägda enheter som delas mellan anställda mellan uppgifter, arbetspass eller platser.

Här är ett exempel på ett typiskt scenario. En organisation har en pool med enheter som debiterar hållare som ska delas mellan alla anställda. I början av ett skift hämtar en anställd en enhet från poolen och loggar in på Microsoft Teams och andra affärsappar som är viktiga för deras roll. I slutet av arbetspasset loggar de ut och returnerar enheten till poolen. Även inom samma arbetspass kan en arbetare returnera en enhet när de slutför en uppgift eller stämpla ut på lunch och sedan hämta en annan när de stämplar in igen.

Delade enheter utgör unika säkerhetsutmaningar. Anställda kan till exempel ha åtkomst till företags- eller kunddata som inte ska vara tillgängliga för andra på samma enhet. Organisationer som distribuerar delade enheter måste definiera inloggnings- och utloggningsupplevelsen och implementera kontroller för att förhindra obehörig eller oavsiktlig åtkomst till appar och data när enheter delas ut mellan anställda.

Den här artikeln beskriver funktioner och överväganden för att distribuera och hantera delade enheter för att hjälpa personalen i frontlinjen att få de enheter de behöver för att få arbete gjort. Använd den här vägledningen för att planera och hantera distributionen i frontlinjen.

Läget Delad enhet

Vi rekommenderar att du använder läget för delad enhet för dina arbetsdelade enheter i frontlinjen när det är möjligt.

Läget för delad enhet är en Microsoft Entra ID-funktion som gör det möjligt för organisationer att konfigurera en Android-, iOS- eller iPadOS-enhet så att den enkelt kan delas av flera anställda. Anställda kan logga in en gång och få åtkomst till sina data i alla appar som stöds utan att ha åtkomst till andra anställdas data. När de har slutfört sitt skift eller sin uppgift loggar de ut en gång och loggas ut från enheten och alla appar som stöds, vilket gör enheten redo för nästa medarbetare att använda.

Viktiga fördelar med att aktivera läget för delad enhet på enheter

• Enkel inloggning: Tillåt användare att logga in på en app som stöder läget för delad enhet en gång och få sömlös autentisering i alla andra appar som stöder läget för delad enhet utan att behöva ange autentiseringsuppgifter igen. Undanta användare från första körningens upplevelseskärmar på delade enheter.
• Enkel utloggning: Tillåt användare ett enkelt sätt att logga ut från en enhet utan att behöva logga ut individuellt från varje app som stöder läget för delad enhet. Ge användarna garantier om att deras data inte visas på ett olämpligt sätt för efterföljande användare, eftersom apparna säkerställer att rensning av cachelagrade användardata och appskyddsprinciper tillämpas.
• Stöd för att framtvinga säkerhetskrav med hjälp av principer för villkorsstyrd åtkomst: Ger administratörer möjlighet att rikta specifika principer för villkorsstyrd åtkomst på delade enheter, vilket säkerställer att anställda endast har åtkomst till företagsdata när deras delade enhet uppfyller interna efterlevnadsstandarder.

Kom igång med läget för delad enhet

Du kan konfigurera enheter för läget för delad enhet manuellt eller via din MDM-lösning (hantering av mobila enheter) med hjälp av zero-touch-etablering. Mer information finns i Översikt över läget för delad enhet.

Utvecklare kan lägga till stöd för läget för delad enhet i dina appar med hjälp av Microsoft Authentication Library (MSAL). Mer information om hur du integrerar dina appar med läget för delad enhet finns i:

• Läge för delad enhet för Android-enheter
• Självstudie: Använda läget för delad enhet i ditt Android-program
• Läge för delad enhet för iOS-enheter

Multifaktorautentisering

Microsoft Entra multifaktorautentisering (MFA) lägger till ytterligare säkerhet över att bara använda ett lösenord när en användare loggar in. MFA är ett bra sätt att öka säkerheten, även om det kan öka friktionen i inloggningsupplevelsen för vissa användare med det extra säkerhetsskiktet utöver att behöva komma ihåg sina lösenord.

Det är viktigt att verifiera användarupplevelsen innan distributionen så att du kan förbereda dig för ändringshantering och beredskap.

Om MFA inte är möjligt för din organisation bör du planera att implementera robusta principer för villkorsstyrd åtkomst för att minska säkerhetsrisken. Några vanliga principer för villkorsstyrd åtkomst som ska tillämpas när MFA inte används på delade enheter är:

• Enhetsefterlevnad
• Betrodda nätverksplatser
• Enheten hanteras

Se till att utvärdera principer för villkorsstyrd åtkomst och appskyddsprinciper som du vill tillämpa för att säkerställa att de uppfyller organisationens behov.

Domänlös inloggning

Du kan förenkla inloggningen i Teams för iOS och Android genom att fylla i domännamnet på inloggningsskärmen för användare på delade och hanterade enheter.

Användare loggar in genom att bara ange den första delen av användarens huvudnamn (UPN). Om användarnamnet till exempel är 123456@contoso.com eller alexw@contoso.comkan användarna logga in med hjälp av endast "123456" respektive "alexw" och deras lösenord. Det går snabbare och enklare att logga in på Teams, särskilt för medarbetare i frontlinjen på delade enheter som loggar in och ut regelbundet.

Du kan också aktivera domänlös inloggning för dina anpassade verksamhetsspecifika appar ( LOB).

Läs mer om domänlös inloggning.

Villkorsstyrd åtkomst

Använd principer för villkorsstyrd åtkomst för att tillämpa rätt kontroller när det behövs för att skydda din organisation. Du kan skapa regler som begränsar åtkomsten baserat på identitetsdrivna signaler som omfattar:

• Användar- eller gruppmedlemskap
• Information om IP-plats
• Enhet (endast tillgänglig om enheten har registrerats i Microsoft Entra-ID)
• Program
• Realtid och beräknad riskidentifiering

Du kan till exempel använda en princip för villkorsstyrd åtkomst för att begränsa åtkomsten så att endast delade enheter som är markerade som kompatibla kan komma åt din organisations appar och tjänster. Här är några resurser som hjälper dig att komma igång:

• Planera en distribution av villkorsstyrd åtkomst
• Skapa en princip för villkorsstyrd åtkomst

Appskyddsprinciper

Med hantering av mobilprogram (MAM) från Intune kan du använda appskyddsprinciper för att säkerställa att data inte läcker till appar som inte stöder läget för delad enhet. För att förhindra dataförlust aktiverar du följande appskyddsprinciper på delade enheter:

• Inaktivera kopiering/inklistring till icke-delade enhetslägesaktiverade appar.
• Inaktivera sparande av lokal fil.
• Inaktivera funktioner för dataöverföring till icke-delade enhetslägesaktiverade appar.

Bevilja automatiskt medgivande till appar för enhetsfunktioner

På en delad enhet är det viktigt att ta bort onödiga skärmar som kan dyka upp när en användare kommer åt en app första gången. Dessa skärmar kan innehålla uppmaningar om att ge appen behörighet att använda enhetsfunktioner, till exempel mikrofonen eller kameran eller åtkomstplatsen. Du kan använda appkonfigurationsprinciper i Intune på delade Android-enheter för att förkonfigurera appbehörigheter för åtkomst till enhetsfunktioner.

Om du använder en MDM-lösning från tredje part kan du läsa dokumentationen om alternativ som är tillgängliga för att automatiskt bevilja medgivande till appar för åtkomst till enhetsfunktioner.

Relaterade artiklar

• Översikt över enhetshantering för medarbetare i frontlinjen