Administración de dispositivos compartidos para trabajadores de primera línea

• Se aplica a:

  Microsoft Teams, Microsoft 365 for frontline workers

Información general

Muchos trabajadores de primera línea usan dispositivos móviles compartidos para realizar el trabajo. Los dispositivos compartidos son dispositivos propiedad de la empresa que se comparten entre los empleados entre tareas, turnos o ubicaciones.

Este es un ejemplo de un escenario típico. Una organización tiene un conjunto de dispositivos en bases de carga que se comparten entre todos los empleados. Al principio de un turno, un empleado toma un dispositivo del grupo e inicia sesión en Microsoft Teams y otras aplicaciones empresariales esenciales para su rol. Al final de su turno, cierran la sesión y devuelven el dispositivo al grupo. Incluso dentro del mismo turno, un trabajador puede devolver un dispositivo cuando finaliza una tarea o sale a comer y, a continuación, recoger uno diferente cuando vuelva a registrarse.

Los dispositivos compartidos presentan desafíos de seguridad únicos. Por ejemplo, los empleados podrían tener acceso a los datos de la empresa o del cliente que no deberían estar disponibles para otros usuarios en el mismo dispositivo. Las organizaciones que implementan dispositivos compartidos deben definir la experiencia de inicio y cierre de sesión e implementar controles para evitar el acceso no autorizado o no intencionado a aplicaciones y datos cuando los dispositivos se entregan entre los empleados.

En este artículo se tratan las funcionalidades y consideraciones para implementar y administrar dispositivos compartidos a fin de ayudar a capacitar a los empleados de primera línea con los dispositivos que necesitan para realizar el trabajo. Use esta guía para planear y administrar la implementación de primera línea.

Modo de dispositivo compartido

Se recomienda usar el modo de dispositivo compartido para los dispositivos compartidos de trabajo de primera línea, siempre que sea posible.

El modo de dispositivo compartido es una característica de Microsoft Entra ID que permite a las organizaciones configurar un dispositivo Android, iOS o iPadOS para que varios empleados puedan compartirlo fácilmente. Los empleados pueden iniciar sesión una vez y obtener acceso a sus datos en todas las aplicaciones admitidas sin tener acceso a los datos de otros empleados. Cuando finalizan su turno o tarea, cierran sesión una vez y cierran sesión en el dispositivo y todas las aplicaciones admitidas, lo que hace que el dispositivo esté listo para que el siguiente empleado lo use.

Principales ventajas de habilitar el modo de dispositivo compartido en dispositivos

• Inicio de sesión único: permite que los usuarios inicien sesión en una aplicación que admita el modo de dispositivo compartido una vez y obtengan una autenticación sin problemas en todas las demás aplicaciones que admiten el modo de dispositivo compartido sin tener que volver a escribir las credenciales. Eximir a los usuarios de pantallas de experiencia de primera ejecución en dispositivos compartidos.
• Cierre de sesión único: permita a los usuarios una manera sencilla de cerrar sesión desde un dispositivo sin necesidad de cerrar sesión individualmente desde cada aplicación que admita el modo de dispositivo compartido. Proporcione a los usuarios la garantía de que sus datos no se muestran inapropiadamente a los usuarios posteriores, dado que las aplicaciones garantizan la limpieza de los datos de usuario almacenados en caché y se aplican directivas de protección de aplicaciones.
• Compatibilidad con la aplicación de requisitos de seguridad mediante directivas de acceso condicional: proporciona a los administradores la capacidad de dirigirse a directivas de acceso condicional específicas en dispositivos compartidos, lo que garantiza que los empleados solo tengan acceso a los datos de la empresa cuando su dispositivo compartido cumpla los estándares de cumplimiento internos.

Introducción al modo de dispositivo compartido

Puede configurar dispositivos para el modo de dispositivo compartido manualmente o a través de la solución de administración de dispositivos móviles (MDM) mediante el aprovisionamiento sin intervención. Para más información, consulte Información general sobre el modo de dispositivo compartido.

Los desarrolladores pueden agregar compatibilidad con el modo de dispositivo compartido a las aplicaciones mediante la Biblioteca de autenticación de Microsoft (MSAL). Para obtener más información sobre cómo integrar las aplicaciones con el modo de dispositivo compartido, consulte:

• Modo de dispositivo compartido para dispositivos Android
• Tutorial: Uso del modo de dispositivo compartido en la aplicación Android
• Modo de dispositivo compartido para dispositivos iOS

Autenticación multifactor

La autenticación multifactor (MFA) de Microsoft Entra agrega seguridad adicional solo con una contraseña cuando un usuario inicia sesión. MFA es una excelente manera de aumentar la seguridad, aunque podría agregar fricción a la experiencia de inicio de sesión para algunos usuarios con la capa adicional de seguridad además de tener que recordar sus contraseñas.

Es importante validar la experiencia del usuario antes de la implementación para que pueda prepararse para los esfuerzos de administración y preparación de cambios.

Si MFA no es factible para su organización, debe planear la implementación de directivas de acceso condicional sólidas para reducir el riesgo de seguridad. Algunas directivas de acceso condicional comunes que se aplican cuando mfa no se usa en dispositivos compartidos incluyen:

• Cumplimiento de dispositivos
• Ubicaciones de red de confianza
• El dispositivo se administra

Asegúrese de evaluar las directivas de acceso condicional y las directivas de protección de aplicaciones que desea aplicar para asegurarse de que satisfacen las necesidades de su organización.

Inicio de sesión sin dominio

Puede simplificar la experiencia de inicio de sesión en Teams para iOS y Android rellenando previamente el nombre de dominio en la pantalla de inicio de sesión para los usuarios de dispositivos compartidos y administrados.

Los usuarios inician sesión escribiendo solo la primera parte de su nombre principal de usuario (UPN). Por ejemplo, si el nombre de usuario es 123456@contoso.com o alexw@contoso.com, los usuarios pueden iniciar sesión usando solo "123456" o "alexw", respectivamente, y su contraseña. El inicio de sesión en Teams es más rápido y fácil, especialmente para los trabajadores de primera línea en dispositivos compartidos, que inician y cierran sesión con regularidad.

También puede habilitar el inicio de sesión sin dominio para las aplicaciones de línea de negocio (LOB) personalizadas.

Obtenga más información sobre el inicio de sesión sin dominio.

Acceso condicional

Use directivas de acceso condicional para aplicar los controles adecuados cuando sea necesario para mantener la organización segura. Puede crear reglas que limiten el acceso en función de las señales controladas por identidades que incluyen:

• Pertenencia a usuarios o grupos
• Información de ubicación IP
• Dispositivo (solo disponible si el dispositivo está inscrito en Microsoft Entra ID)
• Aplicación
• Detección de riesgos calculados y en tiempo real

Por ejemplo, puede usar una directiva de acceso condicional para restringir el acceso para que solo los dispositivos compartidos marcados como conformes puedan acceder a las aplicaciones y servicios de su organización. Estos son algunos recursos que le ayudarán a empezar:

• Planeamiento de una implementación de acceso condicional
• Creación de una directiva de acceso condicional

Directivas de protección de aplicaciones

Con la administración de aplicaciones móviles (MAM) de Intune, puede usar directivas de protección de aplicaciones para asegurarse de que los datos no se filtran a las aplicaciones que no admiten el modo de dispositivo compartido. Para ayudar a evitar la pérdida de datos, habilite las siguientes directivas de protección de aplicaciones en dispositivos compartidos:

• Deshabilite copiar y pegar en aplicaciones habilitadas para el modo de dispositivo no compartido.
• Deshabilite el guardado de archivos local.
• Deshabilite las funcionalidades de transferencia de datos a aplicaciones habilitadas para el modo de dispositivo no compartido.

Conceder automáticamente el consentimiento a las aplicaciones para las características del dispositivo

En un dispositivo compartido, es importante quitar pantallas innecesarias que podrían aparecer cuando un usuario accede a una aplicación la primera vez. Estas pantallas pueden incluir mensajes para conceder a la aplicación permiso para usar características del dispositivo, como el micrófono o la cámara, o la ubicación de acceso. Puede usar directivas de configuración de aplicaciones en Intune en dispositivos android compartidos para preconfigurar los permisos de aplicación para acceder a las características del dispositivo.

Si usa una solución MDM de terceros, consulte la documentación para ver las opciones disponibles para conceder automáticamente el consentimiento a las aplicaciones para acceder a las características del dispositivo.

Artículos relacionados

• Introducción a la administración de dispositivos para trabajadores de primera línea