Partage via


Gérer les appareils partagés pour les employés de première ligne

Vue d’ensemble

De nombreux travailleurs de première ligne utilisent des appareils mobiles partagés pour travailler. Les appareils partagés sont des appareils appartenant à l’entreprise qui sont partagés entre les employés à travers des tâches, des équipes ou des emplacements.

Voici un exemple de scénario classique. Une organisation dispose d’un pool d’appareils dans les berceaux de recharge à partager entre tous les employés. Au début d’un quart de travail, un employé récupère un appareil dans le pool et se connecte à Microsoft Teams et à d’autres applications métier essentielles à son rôle. À la fin de leur quart de travail, ils se déconnectent et retournent l’appareil au pool. Même au sein d’un même quart de travail, un travailleur peut retourner un appareil lorsqu’il termine une tâche ou qu’il expire pour le déjeuner, puis en prendre un autre lorsqu’il revient en arrière.

Les appareils partagés présentent des défis de sécurité uniques. Par exemple, les employés peuvent avoir accès aux données de l’entreprise ou des clients qui ne doivent pas être disponibles pour d’autres personnes sur le même appareil. Les organisations qui déploient des appareils partagés doivent définir l’expérience de connexion et de déconnexion et implémenter des contrôles pour empêcher l’accès non autorisé ou involontaire aux applications et aux données lorsque des appareils sont transférés entre les employés.

Cet article traite des fonctionnalités et des considérations relatives au déploiement et à la gestion des appareils partagés pour aider votre personnel de première ligne à utiliser les appareils dont il a besoin pour accomplir son travail. Utilisez ces conseils pour planifier et gérer votre déploiement de première ligne.

Mode d’appareil partagé

Nous vous recommandons d’utiliser le mode d’appareil partagé pour vos appareils partagés de travail de première ligne, dans la mesure du possible.

Le mode d’appareil partagé est une fonctionnalité d’ID Microsoft Entra qui permet aux organisations de configurer un appareil Android, iOS ou iPadOS afin qu’il puisse être facilement partagé par plusieurs employés. Les employés peuvent se connecter une seule fois et accéder à leurs données sur toutes les applications prises en charge sans avoir accès aux données des autres employés. Lorsqu’ils ont terminé leur équipe ou leur tâche, ils se déconnectent une fois et se déconnectent de l’appareil et de toutes les applications prises en charge, ce qui rend l’appareil prêt à être utilisé par le prochain employé.

Principaux avantages de l’activation du mode appareil partagé sur les appareils

  • Authentification unique : autorisez les utilisateurs à se connecter une fois à une application qui prend en charge le mode d’appareil partagé et à bénéficier d’une authentification transparente dans toutes les autres applications qui prennent en charge le mode appareil partagé sans avoir à entrer à nouveau les informations d’identification. Exemptez les utilisateurs des écrans d’expérience de première utilisation sur les appareils partagés.
  • Déconnexion unique : permettre aux utilisateurs de se déconnecter facilement d’un appareil sans avoir à se déconnecter individuellement de chaque application qui prend en charge le mode d’appareil partagé. Fournir aux utilisateurs l’assurance que leurs données ne sont pas affichées de manière inappropriée aux utilisateurs suivants, étant donné que les applications garantissent le nettoyage des données utilisateur mises en cache et que les stratégies de protection des applications sont appliquées.
  • Prise en charge de l’application des exigences de sécurité à l’aide de stratégies d’accès conditionnel : permet aux administrateurs de cibler des stratégies d’accès conditionnel spécifiques sur des appareils partagés, garantissant ainsi que les employés n’ont accès aux données de l’entreprise que lorsque leur appareil partagé répond aux normes de conformité internes.

Prise en main du mode appareil partagé

Vous pouvez configurer des appareils pour le mode d’appareil partagé manuellement ou via votre solution de gestion des appareils mobiles (GPM) à l’aide de l’approvisionnement sans contact. Pour plus d’informations, consultez Vue d’ensemble du mode d’appareil partagé.

Les développeurs peuvent ajouter la prise en charge du mode d’appareil partagé à vos applications à l’aide de la bibliothèque d’authentification Microsoft (MSAL). Pour plus d’informations sur l’intégration de vos applications avec le mode d’appareil partagé, consultez :

Authentification multifacteur

L’authentification multifacteur Microsoft Entra (MFA) ajoute une sécurité supplémentaire à l’utilisation d’un mot de passe uniquement lorsqu’un utilisateur se connecte. L’authentification multifacteur est un excellent moyen d’accroître la sécurité, bien qu’elle puisse ajouter des frictions à l’expérience de connexion pour certains utilisateurs avec la couche de sécurité supplémentaire en plus de devoir mémoriser leurs mots de passe.

Il est important de valider l’expérience utilisateur avant votre déploiement afin de pouvoir vous préparer aux efforts de préparation et de gestion des changements.

Si l’authentification multifacteur n’est pas réalisable pour votre organisation, vous devez planifier l’implémentation de stratégies d’accès conditionnel robustes pour réduire les risques de sécurité. Voici quelques stratégies d’accès conditionnel courantes à appliquer lorsque l’authentification multifacteur n’est pas utilisée sur des appareils partagés :

  • Conformité des appareils
  • Emplacements réseau approuvés
  • L’appareil est géré

Veillez à évaluer les stratégies d’accès conditionnel et les stratégies de protection des applications que vous souhaitez appliquer pour vous assurer qu’elles répondent aux besoins de votre organisation.

Connexion sans domaine

Vous pouvez simplifier l’expérience de connexion sur Teams pour iOS et Android en préremplissant le nom de domaine sur l’écran de connexion pour les utilisateurs sur des appareils partagés et gérés.

Les utilisateurs se connectent en entrant uniquement la première partie de leur nom d’utilisateur principal (UPN). Par exemple, si le nom d’utilisateur est 123456@contoso.com ou alexw@contoso.com, les utilisateurs peuvent se connecter en utilisant uniquement « 123456 » ou « alexw », respectivement, et leur mot de passe. La connexion à Teams est plus rapide et plus facile, en particulier pour les employés de première ligne sur les appareils partagés, qui se connectent et se déconnectent régulièrement.

Vous pouvez également activer la connexion sans domaine pour vos applications métier personnalisées.

En savoir plus sur la connexion sans domaine.

Accès conditionnel

Utilisez des stratégies d’accès conditionnel pour appliquer les contrôles appropriés si nécessaire pour assurer la sécurité de votre organisation. Vous pouvez créer des règles qui limitent l’accès en fonction de signaux basés sur l’identité, notamment :

  • Appartenance à un utilisateur ou à un groupe
  • Informations sur l’emplacement IP
  • Appareil (disponible uniquement si l’appareil est inscrit dans l’ID Microsoft Entra)
  • Application
  • Détection des risques en temps réel et calculés

Par exemple, vous pouvez utiliser une stratégie d’accès conditionnel pour restreindre l’accès afin que seuls les appareils partagés marqués comme conformes puissent accéder aux applications et services de votre organisation. Voici quelques ressources pour vous aider à démarrer :

Stratégies de protection des applications

Avec la gestion des applications mobiles (GAM) d’Intune, vous pouvez utiliser des stratégies de protection des applications pour vous assurer que les données ne fuient pas vers les applications qui ne prennent pas en charge le mode d’appareil partagé. Pour éviter la perte de données, activez les stratégies de protection des applications suivantes sur les appareils partagés :

  • Désactivez le copier/coller sur les applications compatibles avec le mode appareil non partagé.
  • Désactivez l’enregistrement de fichiers locaux.
  • Désactivez les fonctionnalités de transfert de données vers les applications compatibles avec le mode d’appareil non partagé.

Sur un appareil partagé, il est important de supprimer les écrans inutiles qui peuvent apparaître lorsqu’un utilisateur accède à une application la première fois. Ces écrans peuvent inclure des invites pour accorder à l’application l’autorisation d’utiliser les fonctionnalités de l’appareil, telles que le microphone ou la caméra, ou l’emplacement d’accès. Vous pouvez utiliser des stratégies de configuration d’application dans Intune sur des appareils android partagés pour préconfigurer les autorisations d’application afin d’accéder aux fonctionnalités de l’appareil.

Si vous utilisez une solution GPM tierce, consultez la documentation pour connaître les options disponibles pour accorder automatiquement le consentement aux applications pour accéder aux fonctionnalités de l’appareil.