Přehled správy zařízení pro pracovníky v první linii
Přehled
V každém odvětví tvoří pracovníci v první linii velkou část pracovníků. Mezi role pracovníků v první linii patří pracovníci maloobchodního prodeje, pracovníci v továrně, technici v terénu a služby, zdravotníci a mnoho dalších.
Vzhledem k tomu, že pracovní síla je z velké části mobilní a často založená na směnách, je správa zařízení, která pracovníci v první linii používají, klíčovou zásadou. Několik otázek, které je potřeba zvážit:
- Používají pracovníci zařízení vlastněná společností nebo vlastní osobní zařízení?
- Jsou zařízení vlastněná společností sdílená mezi pracovníky nebo přiřazená jednotlivci?
- Vezmou si pracovníci zařízení domů, nebo je nechávají na pracovišti?
Je důležité nastavit zabezpečený a vyhovující směrný plán pro správu zařízení pro vaše pracovníky, ať už se jedná o sdílená zařízení nebo vlastní zařízení pracovníků.
Tento článek poskytuje přehled běžných scénářů zařízení a možností správy pracovníků v první linii, které vám pomůžou posílit pracovní sílu a současně zabezpečit firemní data. Informace a důležité informace vám pomůžou naplánovat nasazení zařízení v první linii.
Nasazení zařízení
Klíčovým krokem při plánování je určit, jak nasadíte mobilní zařízení do frontové linie a jaké operační systémy budete podporovat. Tato rozhodnutí proveďte předem, abyste mohli vyhodnotit proveditelnost plánu implementace a IT infrastruktury s ohledem na tyto faktory.
Modely nasazení
Sdílená zařízení a vlastní zařízení (BYOD) jsou nejčastěji používané typy zařízení používané v organizacích v první linii. Následující tabulka uvádí tyto modely nasazení společně s dalšími a souvisejícími aspekty.
| Typ zařízení | Popis | Proč používat | Důležité informace o nasazení |
|---|---|---|---|
| Sdílená zařízení | Zařízení vlastněná a spravovaná vaší organizací Zaměstnanci mají přístup k zařízením v práci. |
Produktivita pracovníků a zkušenosti zákazníků jsou nejvyšší prioritou. Pracovníci nemají přístup k prostředkům organizace, když nejsou v práci. Místní zákony můžou bránit používání osobních zařízení pro obchodní účely. |
Definujte, jak se vaše frontová linie přihlašuje a odhlasuje ze zařízení. Pokud vícefaktorové ověřování (MFA) není možné, zvažte použití zásad Microsoft Entra podmíněného přístupu k zabezpečení sdílených zařízení. |
| Přineste si vlastní zařízení (BYOD) | Osobní zařízení vlastněná uživatelem a spravovaná vaší organizací | Chcete zaměstnancům poskytnout pohodlný způsob, jak kontrolovat rozvrhy směn, chatovat s kolegy o prohození směn nebo získat přístup k personálním prostředkům, jako je jejich paystub. Sdílená nebo vyhrazená zařízení můžou být nepraktická z hlediska nákladů nebo připravenosti pro firmy. |
Osobní zařízení se liší operačním systémem, úložištěm a připojením. Používání osobního zařízení může být v rozporu s pravidly unie nebo vládními předpisy. Někteří pracovníci nemusí mít spolehlivý přístup k osobnímu mobilnímu zařízení. |
| Vyhrazená zařízení1 | Zařízení vlastněná a spravovaná vaší organizací a vydaná jednomu uživateli | Pracovník vyžaduje vyhrazené telefonní číslo pro příjem hovorů a textových zpráv. Organizace vyžaduje úplnou kontrolu nad zařízením a nad tím, jak ho zaměstnanci používají. |
Náklady na vyhrazený hardware Zvýšené úsilí o zavedení a složitost podpory nemusí být v umístěních v terénu proveditelné. |
| Zařízení s beznabídkovýmrežimem 2 | Zařízení vlastněná a spravovaná vaší organizací Uživatelé se nemusí přihlašovat ani odhlašovat. | Zařízení má vyhrazený účel. Případ použití nevyžaduje ověření uživatele. |
Aplikace pro spolupráci, komunikaci, úkoly a pracovní postupy potřebují identitu uživatele, aby fungovaly. Aktivity uživatelů není možné auditovat. Nejde použít některé možnosti zabezpečení, včetně vícefaktorového ověřování. |
1.Vyhrazená zařízení jsou v nasazeních v první linii neobvyklá, a to především kvůli vysokým nákladům a úsilí při správě v souvislosti s vysokou fluktuací zaměstnanců.
2.Nasazení zařízení v celoobrazovkovém režimu se nedoporučuje, protože neumožňují auditování uživatelů a možnosti zabezpečení založené na uživatelích, jako je vícefaktorové ověřování.
Přečtěte si další informace o zařízeních s beznabídkovým režimem.
V tomto článku se zaměříme na sdílená zařízení a model BYOD, protože to jsou modely nasazení, které vyhovují praktickým potřebám většiny nasazení v první linii. Přečtěte si přehled aspektů plánování a možností správy.
Operační systém zařízení
Model nasazení, který zvolíte, částečně určuje operační systémy zařízení, které podporujete. Příklady:
- Pokud implementujete model sdílených zařízení, operační systém zařízení, který zvolíte, určuje dostupné možnosti. Zařízení s Windows například nativně podporují možnost ukládat více profilů uživatelů pro automatické přihlašování a snadné ověřování pomocí Windows Hello. Pro Android a iOS platí další kroky a požadavky.
- Pokud implementujete model BYOD, budete muset podporovat zařízení s Androidem i iOS.
| Operační systém zařízení | Úvahy |
|---|---|
| Android |
Omezené nativní možnosti pro ukládání více profilů uživatelů na zařízeních Zařízení s Androidem je možné zaregistrovat v režimu sdíleného zařízení, aby se automatizovalo jednotné přihlašování a odhlašování, a cílení na zásady podmíněného přístupu. Robustní správa ovládacích prvků a rozhraní API Stávající ekosystém zařízení vytvořených pro použití v první linii |
| iOS a iPadOS | Zařízení s iOSem je možné zaregistrovat v režimu sdíleného zařízení, aby se automatizovalo jednotné přihlašování a odhlášení. Ukládání více profilů uživatelů na zařízeních s iPadOS je možné pomocí sdíleného iPadu pro firmy. |
| Windows | Nativní podpora ukládání více profilů uživatelů na zařízení Podporuje Windows Hello pro ověřování bez hesla. Zjednodušené možnosti nasazení a správy při použití s Microsoft Intune |
Zařízení na šířku
Při plánování nasazení zařízení je potřeba vzít v úvahu několik povrchových oblastí. Tato část popisuje prostředí a termíny, které je potřeba znát.
Správa mobilních zařízení
Řešení správy mobilních zařízení (MDM), jako je Microsoft Intune, zjednodušují nasazení, správu a monitorování zařízení.
Zařízení je možné zaregistrovat pouze v jednom řešení MDM, ale můžete použít několik řešení MDM ke správě samostatných fondů zařízení. Můžete například použít Omnissa Workspace ONE nebo SOTI MobiControl pro sdílená zařízení a Intune pro BYOD. Pokud používáte více řešení MDM, mějte na paměti, že někteří uživatelé nemusí mít přístup ke sdíleným zařízením kvůli neshodě zásad podmíněného přístupu nebo zásad správy mobilních aplikací (MAM).
Pokud používáte řešení MDM od jiného výrobce, můžete se integrovat s dodržováním předpisů Intune partnerů a využívat tak podmíněný přístup pro zařízení spravovaná řešeními MDM třetích stran.
Spouštěče aplikací pro zařízení s Androidem
Spouštěč aplikací je aplikace, která umožňuje poskytovat prioritní prostředí pro vaši frontu s přizpůsobenou úvodní obrazovkou, jako jsou aplikace, tapety a pozice ikon. Můžete zobrazit jenom relevantní aplikace, které pracovníci v první linii potřebují používat, a widgety, které zvýrazňují klíčové informace.
Většina řešení MDM poskytuje vlastní spouštěč aplikací. Například Microsoft Intune poskytuje aplikaci Microsoft Spravovaná domovská obrazovka. Můžete také vytvořit vlastní spouštěč.
V následující tabulce jsou uvedeny některé z nejběžnějších spouštěčů aplikací, které jsou dnes dostupné pro zařízení s Androidem od Microsoftu a vývojářů třetích stran.
| Spouštěč aplikací | Funkce |
|---|---|
| Microsoft Spravovaná domovská obrazovka | Spravovaná domovská obrazovka použijte, když chcete, aby uživatelé měli přístup ke konkrétní sadě aplikací na Intune zaregistrovaných vyhrazených zařízeních. Vzhledem k tomu, že Spravovaná domovská obrazovka se dá automaticky spustit jako výchozí domovská obrazovka na zařízení a uživateli se zobrazí jako jediná domovská obrazovka, je to užitečné ve scénářích sdílených zařízení, když se vyžaduje zamčené prostředí. Další informace |
| Omnissa Workspace ONE Launcher | Pokud používáte Omnissu, je spouštěč Workspace ONE Launcher nástrojem pro správu sady aplikací, ke kterým vaše frontová linie potřebuje přístup. Omnissa Workspace ONE Launcher v současné době nepodporuje režim sdíleného zařízení. Další informace |
| SOTI | Pokud používáte SOTI, je spouštěč aplikací SOTI nejlepším nástrojem pro správu sady aplikací, ke kterým vaše frontová linie potřebuje přístup. Spouštěč aplikací SOTI dnes podporuje režim sdíleného zařízení. |
| BlueFletch | BlueFletch Launcher se dá používat na zařízeních bez ohledu na vaše řešení MDM. BlueFletch dnes podporuje režim sdíleného zařízení. Další informace |
| Spouštěč vlastních aplikací | Pokud chcete plně přizpůsobené prostředí, můžete si vytvořit vlastní spouštěč aplikací. Spouštěč můžete integrovat s režimem sdíleného zařízení, aby se uživatelé museli přihlásit a odhlásit jenom jednou. |
Správa identit
Microsoft 365 pro pracovníky v první linii používá Microsoft Entra ID jako podkladovou službu identit pro doručování a zabezpečení všech aplikací a prostředků. Uživatelé musí mít identitu, která existuje v Microsoft Entra ID pro přístup k aplikacím Microsoft 365.
Pokud se rozhodnete spravovat identity uživatelů v první linii pomocí služby Active Directory Domain Services (AD DS) nebo zprostředkovatele identity třetí strany, budete muset tyto identity federovat, abyste mohli Microsoft Entra ID. Zjistěte, jak integrovat službu třetí strany s Microsoft Entra ID.
Mezi možné způsoby implementace pro správu identit v první linii patří:
- Microsoft Entra samostatně: Vaše organizace vytváří a spravuje identity uživatelů, zařízení a aplikací v Microsoft Entra ID jako samostatné řešení identit pro vaše úlohy v první linii. Tento model implementace se doporučuje, protože zjednodušuje architekturu nasazení v první linii a maximalizuje výkon při přihlašování uživatelů.
- integrace Active Directory Domain Services (AD DS) s Microsoft Entra ID: Microsoft poskytuje Microsoft Entra Connect pro propojení těchto dvou prostředí. Microsoft Entra Connect replikuje uživatelské účty služby Active Directory do Microsoft Entra ID, což uživateli umožňuje mít jedinou identitu, která může přistupovat k místním i cloudovým prostředkům. Přestože služba AD DS i Microsoft Entra ID můžou existovat jako nezávislá adresářová prostředí, můžete se rozhodnout vytvořit hybridní adresáře.
- Synchronizace řešení identit třetích stran se službou Microsoft Entra ID: Microsoft Entra ID podporuje integraci s zprostředkovateli identit třetích stran, jako je Okta a Ping Identity, prostřednictvím federace. Přečtěte si další informace o používání zprostředkovatelů identit třetích stran.
Zřizování uživatelů řízené hrou
Automatizace zřizování uživatelů je praktická potřeba pro organizace, které chtějí, aby zaměstnanci v první linii měli přístup k aplikacím a prostředkům v první den. Z hlediska zabezpečení je také důležité automatizovat zrušení zřízení během rušení registrace zaměstnanců, aby se zajistilo, že si předchozí zaměstnanci nezachovají přístup k prostředkům společnosti.
Microsoft Entra služba zřizování uživatelů se integruje s cloudovými a místními aplikacemi hr, jako jsou Workday a SAP SuccessFactors. Službu můžete nakonfigurovat tak, aby automatizovala zřizování a rušení zřizování uživatelů při vytvoření nebo zakázání zaměstnance v systému lidských zdrojů.
Více k tomu najdete tady:
- Co je zřizování řízené hrou u Microsoft Entra ID?
- Plánování nasazení automatického zřizování uživatelů pro Microsoft Entra ID
Delegování správy uživatelů pomocí funkce My Staff
Pomocí funkce Moji pedagogové v Microsoft Entra ID můžete prostřednictvím portálu Moji pedagogové delegovat běžné úlohy správy uživatelů na vedoucí pracovníky. Správci frontové linky můžou resetovat hesla nebo spravovat telefonní čísla pracovníků v první linii přímo z obchodu nebo továrny, aniž by museli směrovat žádosti na helpdesk, provozní oddělení nebo IT.
Moji zaměstnanci také umožňují vedoucím pracovníkům v první linii zaregistrovat telefonní čísla členů týmu pro přihlášení pomocí SMS. Pokud je ve vaší organizaci povolené ověřování pomocí SMS , pracovníci v první linii se můžou přihlásit k Teams a dalším aplikacím jenom pomocí svých telefonních čísel a jednorázového hesla odeslaného prostřednictvím SMS. Díky tomu je přihlašování pro pracovníky v první linii jednoduché a rychlé.
Režim sdíleného zařízení
Pomocí funkce režimu sdíleného zařízení Microsoft Entra ID můžete nakonfigurovat zařízení tak, aby je sdíleli zaměstnanci. Tato funkce umožňuje jednotné přihlašování (SSO) a odhlášení v rámci celého zařízení pro Teams a všechny ostatní aplikace, které podporují režim sdíleného zařízení.
Tady je postup, jak funguje režim sdíleného zařízení, například pomocí Teams. Když se zaměstnanec na začátku směny přihlásí k Teams, automaticky se přihlásí ke všem ostatním aplikacím, které podporují režim sdíleného zařízení na zařízení. Když se na konci směny odhlásí z Teams, odhlásí se ze všech ostatních aplikací, které podporují režim sdíleného zařízení. Po odhlášení už nebude možné získat přístup k datům zaměstnance a firemním datům v Teams a ve všech ostatních aplikacích, které podporují režim sdíleného zařízení. Zařízení je připravené k použití dalšímu zaměstnanci.
Tuto funkci můžete integrovat do svých obchodních aplikací pomocí knihovny Microsoft Authentication Library (MSAL).
Ověřování
Funkce ověřování řídí, kdo nebo co používá účet k získání přístupu k aplikacím, datům a prostředkům.
Jak už jsme zmínili, Microsoft 365 pro pracovníky v první linii používá Microsoft Entra ID jako podkladovou službu identit pro zabezpečení aplikací a prostředků Microsoft 365. Další informace o ověřování v Microsoft Entra ID najdete v tématech Co je Microsoft Entra ověřování? a Jaké metody ověřování a ověřování jsou k dispozici v Microsoft Entra ID?.
Vícefaktorové ověřování
Microsoft Entra vícefaktorového ověřování (MFA) funguje tak, že při přihlášení vyžaduje dvě nebo více z následujících metod ověřování:
- Něco, co uživatel zná, obvykle heslo.
- Něco, co uživatel má, například důvěryhodné zařízení, které se nedá snadno duplikovat, jako je telefon nebo hardwarový klíč.
- Něco, čím je uživatel – biometrické údaje, jako je otisk prstu nebo sken obličeje.
Vícefaktorové ověřování podporuje několik forem ověřovacích metod, včetně aplikace Microsoft Authenticator, klíčů FIDO2, SMS a hlasových hovorů.
Vícefaktorové ověřování poskytuje vysokou úroveň zabezpečení aplikací a dat, ale zvyšuje třecí plochy při přihlašování uživatelů. Pro organizace, které si zvolí nasazení BYOD, může nebo nemusí být vícefaktorové ověřování praktickou volbou. Důrazně doporučujeme, aby obchodní a technické týmy ověřily uživatelské prostředí s vícefaktorovým ověřováním před širším zaváděním, aby bylo možné řádně zvážit dopad na uživatele při správě změn a připravenosti.
Pokud vícefaktorové ověřování není pro vaši organizaci nebo model nasazení možné, měli byste naplánovat použití robustních zásad podmíněného přístupu ke snížení bezpečnostních rizik.
Ověřování bez hesla
Abyste ještě více zjednodušili přístup pracovníkům v první linii, můžete použít metody ověřování bez hesla, aby si pracovníci nemuseli pamatovat nebo zadávat svá hesla. Metody ověřování bez hesla odeberou při přihlášení heslo a nahradí ho:
- Něco, co má uživatel, třeba telefon nebo bezpečnostní klíč.
- Něco, čím uživatel je nebo ví, třeba biometrikou nebo PIN kódem.
Metody ověřování bez hesla jsou také obvykle bezpečnější a mnoho z nich může v případě potřeby splňovat požadavky vícefaktorového ověřování.
Než budete pokračovat s metodou ověřování bez hesla, zjistěte, jestli může fungovat ve vašem stávajícím prostředí. Aspekty, jako jsou náklady, podpora operačního systému, požadavky na osobní zařízení a podpora vícefaktorového ověřování, můžou mít vliv na to, jestli by metoda ověřování fungovala pro vaše potřeby.
V následující tabulce najdete informace o posouzení metod ověřování bez hesla pro váš scénář v první linii.
| Metoda | Podpora operačního systému | Vyžaduje osobní zařízení. | Podporuje vícefaktorové ověřování |
|---|---|---|---|
| Microsoft Authenticator | Vše | Ano | Ano |
| Přihlášení přes SMS | Android a iOS | Ano | Ne |
| Windows Hello | Windows | Ne | Ano |
| Klíč FIDO2 | Windows | Ne | Ano |
Další informace najdete v tématech Možnosti ověřování bez hesla pro Microsoft Entra ID a Konfigurace a povolení ověřování pomocí sms pomocí Microsoft Entra ID.
Oprávnění
Autorizační funkce určují, co může ověřený uživatel dělat nebo k čemu může přistupovat. V Microsoftu 365 se toho dosahuje kombinací Microsoft Entra zásad podmíněného přístupu a zásad ochrany aplikací.
Implementace robustních kontrolních mechanismů autorizace je důležitou součástí zabezpečení nasazení sdílených zařízení v první linii, zejména pokud z důvodů nákladů nebo praktičnosti není možné implementovat metody silného ověřování, jako je vícefaktorové ověřování.
Microsoft Entra podmíněného přístupu
Pomocí podmíněného přístupu můžete vytvořit pravidla, která omezují přístup na základě následujících signálů:
- Členství uživatelů nebo skupin
- Informace o umístění IP adresy
- Zařízení (dostupné jenom v případě, že je zaregistrované v Microsoft Entra ID)
- Aplikace
- Detekce rizik v reálném čase a vypočítaná
Zásady podmíněného přístupu se dají použít k blokování přístupu, když je uživatel na zařízení, které nedodržuje předpisy, nebo když je v nedůvěryhodné síti. Pomocí podmíněného přístupu můžete například zabránit uživatelům v přístupu k aplikaci inventáře, když nejsou v pracovní síti nebo používají nespravované zařízení, a to v závislosti na analýze platných zákonů vaší organizace.
Ve scénářích modelu BYOD, kde má smysl přistupovat k datům mimo práci, jako jsou informace související s hrou, správa směn, chatování o prohození směn nebo aplikace nesouvisejí s podnikáním, můžete se rozhodnout implementovat více zásad podmíněného přístupu společně s metodami silného ověřování, jako je vícefaktorové ověřování.
Další informace najdete v dokumentaci Microsoft Entra podmíněného přístupu.
Zásady ochrany aplikací
Pomocí správy mobilních aplikací (MAM) z Intune můžete používat zásady ochrany aplikací s aplikacemi, které jsou integrované se sadou Intune App SDK. To vám umožní dále chránit data vaší organizace v aplikaci.
Pomocí zásad ochrany aplikací můžete přidat bezpečnostní opatření řízení přístupu, například:
- Řízení sdílení dat mezi aplikacemi
- Zabránit ukládání dat firemních aplikací do osobního úložiště.
- Ujistěte se, že je operační systém zařízení aktuální.
V nasazení sdílených zařízení můžete pomocí zásad ochrany aplikací zajistit, aby data nevracela do aplikací, které nepodporují režim sdíleného zařízení. Ve scénářích BYOD jsou zásady ochrany aplikací užitečné, protože umožňují chránit vaše data na úrovni aplikace, aniž byste museli spravovat celé zařízení.
Omezení přístupu k Teams, když jsou pracovníci v první linii mimo směnu
Pomocí funkce pracovní doby můžete pomocí zásad ochrany aplikací omezit přístup k Teams pro pracovníky pracující ve směnách na zařízeních BYOD nebo vyhrazených zařízeních vlastněných společností. Tato funkce umožňuje blokovat přístup nebo zobrazit zprávu upozornění, když pracovníci v první linii přistupují k Teams v době mimo pracovní dobu.
Další informace najdete v tématu Omezení přístupu k Teams, když jsou pracovníci v první linii mimo směnu.