Administrer delte enheder for frontlinemedarbejdere

• Gælder for:

  Microsoft Teams, Microsoft 365 for frontline workers

Oversigt

Mange frontlinjemedarbejdere bruger delte mobilenheder til at udføre arbejde. Delte enheder er enheder, der ejes af virksomheden, og som deles mellem medarbejdere på tværs af opgaver, skift eller placeringer.

Her er et eksempel på et typisk scenarie. En organisation har en pulje af enheder i opladningsholdere, der skal deles på tværs af alle medarbejdere. I starten af et skiftehold henter en medarbejder en enhed fra puljen og logger på Microsoft Teams og andre virksomhedsapps, der er vigtige for deres rolle. I slutningen af deres vagt logger de af og returnerer enheden til puljen. Selv inden for samme skift returnerer en arbejder muligvis en enhed, når vedkommende afslutter en opgave eller stempler ud til frokost og derefter henter en anden, når vedkommende stempler ind igen.

Delte enheder udgør unikke sikkerhedsudfordringer. Medarbejderne kan f.eks. have adgang til firma- eller kundedata, der ikke skal være tilgængelige for andre på den samme enhed. Organisationer, der udruller delte enheder, skal definere logon- og logonoplevelsen og implementere kontrolelementer for at forhindre uautoriseret eller utilsigtet adgang til apps og data, når enheder overdrages mellem medarbejdere.

Denne artikel omhandler funktioner og overvejelser i forbindelse med udrulning og administration af delte enheder for at hjælpe din frontlinearbejdsstyrke med de enheder, de skal bruge for at få arbejdet fra hånden. Brug denne vejledning til at planlægge og administrere din frontline-udrulning.

Tilstand for delt enhed

Vi anbefaler, at du bruger delt enhedstilstand for dine delte enheder for frontlinjemedarbejdere, når det er muligt.

Delt enhedstilstand er en Microsoft Entra ID-funktion, der giver organisationer mulighed for at konfigurere en Android-, iOS- eller iPadOS-enhed, så den nemt kan deles af flere medarbejdere. Medarbejdere kan logge på én gang og få adgang til deres data på tværs af alle understøttede apps uden at have adgang til andre medarbejderes data. Når de er færdige med deres skift eller opgave, logger de af én gang og bliver logget af enheden og alle understøttede apps, så enheden er klar til næste medarbejders brug.

De vigtigste fordele ved at aktivere delt enhedstilstand på enheder

• Enkeltlogon: Tillad brugere at logge på én app, der understøtter delt enhedstilstand én gang, og få problemfri godkendelse i alle andre apps, der understøtter delt enhedstilstand, uden at skulle angive legitimationsoplysningerne igen. Undtaget brugere fra skærmbilleder med førstegangsoplevelsen på delte enheder.
• Enkeltlogon: Gør det nemt for brugerne at logge af en enhed uden at skulle logge af hver enkelt app, der understøtter delt enhedstilstand. Giv brugerne sikkerhed for, at deres data ikke vises upassende for efterfølgende brugere, da appsene sikrer oprydning af cachelagrede brugerdata og politikker for appbeskyttelse.
• Understøttelse af gennemtvingelse af sikkerhedskrav ved hjælp af politikker for betinget adgang: Giver administratorer mulighed for at målrette specifikke politikker for betinget adgang på delte enheder og sikre, at medarbejderne kun har adgang til virksomhedsdata, når deres delte enhed overholder interne standarder for overholdelse af angivne standarder.

Kom i gang med delt enhedstilstand

Du kan konfigurere enheder til delt enhedstilstand manuelt eller via din MDM-løsning (Mobile Device Management) ved hjælp af klargøring uden berøring. Du kan få mere at vide under Oversigt over delt enhedstilstand.

Udviklere kan føje understøttelse af delt enhedstilstand til dine apps ved hjælp af Microsoft Authentication Library (MSAL). Du kan få flere oplysninger om, hvordan du integrerer dine apps med delt enhedstilstand, i:

• Delt enhedstilstand for Android-enheder
• Selvstudium: Brug delt enhedstilstand i dit Android-program
• Delt enhedstilstand for iOS-enheder

Multifaktorgodkendelse

Microsoft Entra Multifactor-godkendelse (MFA) tilføjer yderligere sikkerhed i forhold til kun at bruge en adgangskode, når en bruger logger på. MFA er en fantastisk måde at øge sikkerheden på, selvom det kan føje friktion til logonoplevelsen for nogle brugere med det ekstra sikkerhedslag oven på at skulle huske deres adgangskoder.

Det er vigtigt at validere brugeroplevelsen før udrulningen, så du kan forberede dig på ændringsstyring og parathedsindsats.

Hvis MFA ikke er praktisk for din organisation, bør du planlægge at implementere robuste politikker for betinget adgang for at reducere sikkerhedsrisikoen. Nogle almindelige politikker for betinget adgang, der gælder, når MFA ikke bruges på delte enheder, omfatter:

• Enhedsoverholdelse
• Netværksplaceringer, der er tillid til
• Enheden administreres

Sørg for at evaluere politikker for betinget adgang og politikker for appbeskyttelse, du vil anvende, for at sikre, at de opfylder behovene i din organisation.

Domænefri logon

Du kan forenkle logonoplevelsen i Teams til iOS og Android ved at angive domænenavnet på logonskærmen for brugerne på delte og administrerede enheder.

Brugerne logger på ved kun at angive den første del af brugerens hovednavn (UPN). Hvis brugernavnet f.eks. er 123456@contoso.com eller alexw@contoso.com, kan brugerne logge på ved hjælp af henholdsvis "123456" eller "alexw" og deres adgangskode. Det er hurtigere og nemmere at logge på Teams, især for frontlinjemedarbejdere på delte enheder, der logger på og af regelmæssigt.

Du kan også aktivere domænefri logon for dine brugerdefinerede LOB-apps (line of business).

Få mere at vide om logon uden domæne.

Betinget adgang

Brug politikker for betinget adgang til at anvende de rigtige kontrolelementer, når det er nødvendigt for at beskytte din organisation. Du kan oprette regler, der begrænser adgangen baseret på identitetsbaserede signaler, der omfatter:

• Bruger- eller gruppemedlemskab
• Oplysninger om IP-placering
• Enhed (kun tilgængelig, hvis enheden er tilmeldt Microsoft Entra ID)
• App
• Registrering af risici i realtid og beregnet risiko

Du kan f.eks. bruge en politik for betinget adgang til at begrænse adgangen, så det kun er delte enheder, der er markeret som kompatible, der kan få adgang til organisationens apps og tjenester. Her er nogle ressourcer, der kan hjælpe dig med at komme i gang:

• Planlæg en udrulning af betinget adgang
• Opret en politik for betinget adgang

Politikker for appbeskyttelse

Med administration af mobilapps (MAM) fra Intune kan du bruge politikker for appbeskyttelse til at sikre, at data ikke lækker til apps, der ikke understøtter delt enhedstilstand. Du kan forhindre tab af data ved at aktivere følgende politikker for beskyttelse af apps på delte enheder:

• Deaktiver kopiering/indsættelse i apps, der ikke er aktiveret til enhedstilstand.
• Deaktiver lagring af lokale filer.
• Deaktiver funktioner til dataoverførsel til apps, der ikke er aktiveret til enhedstilstand.

Giv automatisk samtykke til apps til enhedsfunktioner

På en delt enhed er det vigtigt at fjerne unødvendige skærme, der kan dukke op, når en bruger åbner en app første gang. Disse skærme kan omfatte prompter om at give appen tilladelse til at bruge enhedsfunktioner, f.eks. mikrofon eller kamera eller adgangsplacering. Du kan bruge appkonfigurationspolitikker i Intune på delte Android-enheder til at forudkonfigurere apptilladelser for at få adgang til enhedsfunktioner.

Hvis du bruger en MDM-løsning fra tredjepart, skal du se i dokumentationen for indstillinger, der er tilgængelige for automatisk at give samtykke til, at apps får adgang til enhedsfunktioner.

Relaterede artikler

• Oversigt over enhedshåndtering for frontlinemedarbejdere