Oversikt over enhetsadministrasjon for frontlinjearbeidere
Oversikt
På tvers av alle bransjer utgjør frontlinjearbeidere et stort segment av arbeidsstyrken. Frontline-arbeiderroller inkluderer butikkmedarbeidere, fabrikkarbeidere, felt- og serviceteknikere, helsepersonell og mange flere.
Fordi arbeidsstyrken i stor grad er mobil og ofte skiftbasert, er administrasjon av enhetene som frontlinjearbeidere bruker, en viktig grunnleggende. Noen spørsmål du bør vurdere:
- Bruker arbeidere firmaeide enheter eller sine egne personlige enheter?
- Deles firmaeide enheter mellom arbeidere eller tilordnet til en enkeltperson?
- Tar arbeidere enheter hjem eller forlater de dem på arbeidsplassen?
Det er viktig å angi en sikker, kompatibel grunnlinje for å administrere enheter for arbeidsstyrken, enten de er delte enheter eller arbeidernes egne enheter.
Denne artikkelen gir deg en oversikt over vanlige scenarioer for frontlinjearbeidere og administrasjonsfunksjoner for å styrke arbeidsstyrken samtidig som du ivaretar firmadata. Bruk informasjonen og vurderingene til å planlegge distribusjonen av frontlinjeenheten.
Enhetsdistribusjon
Et viktig trinn i planleggingen er å finne ut hvordan du distribuerer mobile enheter til frontlinjen og operativsystemene for å støtte. Ta disse beslutningene på forhånd, slik at du kan evaluere muligheten for implementeringsplanen og IT-infrastrukturen med disse faktorene i tankene.
Distribusjonsmodeller
Delte enheter og bring-your-own-device (BYOD) er de mest utbredte enhetstypene som brukes i frontlinjeorganisasjoner. Tabellen nedenfor viser disse distribusjonsmodellene, sammen med andre og relaterte hensyn.
| Enhetstype | Beskrivelse | Hvorfor bruke | Vurderinger ved distribusjon |
|---|---|---|---|
| Delte enheter | Enheter som eies og administreres av organisasjonen. Ansatte får tilgang til enheter mens de er på jobb. |
Arbeidsproduktivitet og kundeopplevelse er en topp prioritet. Arbeidere får ikke tilgang til organisasjonsressurser når de ikke er på jobb. Lokale lover kan hindre at personlige enheter brukes til forretningsformål. |
Definer hvordan frontlinjen logger på og ut av enheten. Vurder å bruke Microsoft Entra policyer for betinget tilgang til å sikre delte enheter når godkjenning med flere faktorer (MFA) ikke er et alternativ. |
| Bring-your-own device (BYOD) | Personlige enheter som eies av brukeren og administreres av organisasjonen. | Du ønsker å gi de ansatte en praktisk måte å sjekke skifttidsplaner på, chatte med kolleger om skiftbytter eller få tilgang til PERSONAL-ressurser som sin betalingsstub. Delte enheter eller dedikerte enheter kan være upraktiske fra et kostnads- eller forretningsberedskapsperspektiv. |
Personlige enheter varierer i operativsystem, lagring og tilkobling. Bruk av personlige enheter kan være i strid med fagforeningsregler eller offentlige forskrifter. Noen arbeidere har kanskje ikke pålitelig tilgang til en personlig mobil enhet. |
| Dedikerte enheter1 | Enheter som eies og administreres av organisasjonen og utstedes til én enkelt bruker. | Arbeider krever et dedikert telefonnummer for å motta anrop og tekstmeldinger. Organisasjonen krever full kontroll over enheten og hvordan ansatte bruker den. |
Kostnad for dedikert maskinvare. Ekstra innsats for utrulling og støttekompleksitet er kanskje ikke mulig i feltplasseringer. |
| Kioskenheter2 | Enheter som eies og administreres av organisasjonen. Brukere trenger ikke å logge på eller av. | Enheten har et dedikert formål. Brukstilfelle krever ikke brukergodkjenning. |
Samarbeids-, kommunikasjons-, oppgave- og arbeidsflytapper trenger en brukeridentitet for å fungere. Ikke mulig å overvåke brukeraktivitet. Kan ikke bruke noen sikkerhetsfunksjoner, inkludert MFA. |
1Dedikerte enheter er uvanlige i frontlinjedistribusjoner hovedsakelig på grunn av høye kostnader og innsats for å administrere i sammenheng med høy personalomsetning.
2Distribusjon av kioskenheter anbefales ikke fordi de ikke tillater brukerovervåking og brukerbaserte sikkerhetsfunksjoner som godkjenning med flere faktorer.
Mer informasjon om kioskenheter.
I denne artikkelen fokuserer vi på delte enheter og BYOD, da dette er distribusjonsmodellene som passer de praktiske behovene til de fleste frontlinjedistribusjoner. Les videre for en oversikt over planleggingshensyn og administrasjonsfunksjoner.
Operativsystem for enhet
Distribusjonsmodellen du velger, bestemmer delvis hvilke operativsystemer du støtter. Eksempel:
- Hvis du implementerer en modell for delte enheter, bestemmer enhetens operativsystem du velger, hvilke funksjoner som er tilgjengelige. Windows-enheter støtter for eksempel opprinnelig muligheten til å lagre flere brukerprofiler for automatisert pålogging og enkel godkjenning med Windows Hello. Med Android og iOS gjelder flere trinn og forutsetninger.
- Hvis du implementerer en BYOD-modell, må du støtte både Android- og iOS-enheter.
| Enhetsoperativsystemet | Hensyn |
|---|---|
| Androide |
Begrensede opprinnelige funksjoner for lagring av flere brukerprofiler på enheter. Android-enheter kan registreres i delt enhetsmodus for å automatisere enkel pålogging og logge av og målrette policyer for betinget tilgang. Robust administrasjon av kontroller og API-er. Eksisterende økosystem av enheter bygget for frontlinjebruk. |
| iOS og iPadOS | iOS-enheter kan registreres i delt enhetsmodus for å automatisere enkel pålogging og logge av. Lagring av flere brukerprofiler på iPadOS-enheter er mulig med delt iPad for bedrifter. |
| Windows | Opprinnelig støtte for lagring av flere brukerprofiler på enheten. Støtter Windows Hello for godkjenning uten passord. Forenklede distribusjons- og administrasjonsfunksjoner når de brukes med Microsoft Intune. |
Enhetslandskap
Når du planlegger enhetsdistribusjonen, er det hensyn på tvers av flere overflateområder. Denne delen beskriver liggende og betegnelser å være kjent med.
Administrasjon av mobilenheter
Løsninger for administrasjon av mobilenheter (MDM), for eksempel Microsoft Intune, forenkler distribusjon, administrasjon og overvåking av enheter.
En enhet kan bare registreres i én MDM-løsning, men du kan bruke flere MDM-løsninger til å administrere separate utvalg av enheter. Du kan for eksempel bruke Omnissa Workspace ONE eller SOTI MobiControl for delte enheter og Intune for BYOD. Hvis du bruker flere MDM-løsninger, må du huske på at enkelte brukere kanskje ikke får tilgang til delte enheter på grunn av manglende samsvar i policyer for betinget tilgang eller policyer for administrasjon av mobilprogrammer (MAM).
Hvis du bruker en tredjeparts MDM-løsning, kan du integrere med Intune partnersamsvar for å dra nytte av betinget tilgang for enheter som administreres av tredjeparts MDM-løsninger.
Startprogrammer for apper for Android-enheter
Et startprogram for apper er en app som lar deg gi en fokusert opplevelse for frontlinjen med en tilpasset startskjerm, for eksempel apper, bakgrunn og ikonposisjoner. Du kan bare vise de relevante appene som frontlinjearbeiderne dine trenger å bruke, og kontrollprogrammer som fremhever viktig informasjon.
De fleste MDM-løsninger leverer sitt eget startprogram for apper. Microsoft Intune tilbyr for eksempel Microsoft Managed Home Screen-appen. Du kan også bygge ditt eget egendefinerte startprogram.
Tabellen nedenfor viser noen av de vanligste startprogram for apper som er tilgjengelige i dag for Android-enheter av Microsoft og tredjepartsutviklere.
| Startprogram for apper | Funksjoner |
|---|---|
| Microsoft Managed Home Screen | Bruk administrert startskjerm når du vil at brukerne skal ha tilgang til et bestemt sett med apper på Intune registrerte dedikerte enheter. Fordi administrert startskjerm kan startes automatisk som standard startskjerm på enheten og vises for brukeren som den eneste startskjermen, er den nyttig i scenarioer for delte enheter når en låst opplevelse er nødvendig. Finn ut mer. |
| Startprogram for Omnissa Workspace ONE | Hvis du bruker Omnissa, er one launcher for arbeidsområde et verktøy for å kuratere et sett med apper som frontlinjen trenger å få tilgang til. Omnissa Workspace ONE Launcher støtter for øyeblikket ikke delt enhetsmodus. Finn ut mer. |
| SOTI | Hvis du bruker SOTI, er startprogrammet for SOTI-apper det beste verktøyet for å kuratere et sett med apper som frontlinjen trenger tilgang til. SOTI-startprogrammet for apper støtter delt enhetsmodus i dag. |
| BlueFletch | BlueFletch Launcher kan brukes på enheter, uavhengig av MDM-løsningen. BlueFletch støtter delt enhetsmodus i dag. Finn ut mer. |
| Egendefinert startprogram for apper | Hvis du vil ha en fullstendig tilpasset opplevelse, kan du bygge ut ditt eget egendefinerte startprogram for apper. Du kan integrere startprogrammet med delt enhetsmodus, slik at brukerne bare trenger å logge på og av én gang. |
Identitetsbehandling
Microsoft 365 for frontlinjearbeidere bruker Microsoft Entra ID som den underliggende identitetstjenesten for å levere og sikre alle apper og ressurser. Brukere må ha en identitet som finnes i Microsoft Entra ID for å få tilgang til Microsoft 365-apper.
Hvis du velger å administrere brukeridentiteter i frontlinjen med Active Directory Domain Services (AD DS) eller en tredjeparts identitetsleverandør, må du samle disse identitetene for å Microsoft Entra ID. Lær hvordan du integrerer tredjepartstjenesten med Microsoft Entra ID.
De mulige implementeringsmønstrene for administrasjon av frontlinjeidentiteter inkluderer:
- Microsoft Entra frittstående: Organisasjonen oppretter og administrerer bruker-, enhets- og appidentiteter i Microsoft Entra ID som en frittstående identitetsløsning for arbeidsbelastningene i frontlinjen. Dette implementeringsmønsteret anbefales ettersom det forenkler arkitekturen for frontlinjedistribusjon og maksimerer ytelsen under brukerpålogging.
- Active Directory Domain Services (AD DS)-integrering med Microsoft Entra ID: Microsoft tilbyr Microsoft Entra Connect for å bli med i disse to miljøene. Microsoft Entra Connect replikerer Active Directory-brukerkontoer til Microsoft Entra ID, slik at en bruker kan ha én enkelt identitet som kan få tilgang til både lokale og skybaserte ressurser. Selv om både AD DS og Microsoft Entra ID kan finnes som uavhengige katalogmiljøer, kan du velge å opprette hybridkataloger.
- Tredjeparts identitetsløsning synkroniseres med Microsoft Entra ID: Microsoft Entra ID støtter integrering med tredjeparts identitetsleverandører som Okta og Ping-identitet gjennom forbund. Mer informasjon om bruk av tredjeparts identitetsleverandører.
Hr-drevet brukerklargjøring
Automatisering av brukerklargjøring er et praktisk behov for organisasjoner som ønsker at ansatte i frontlinjen skal kunne få tilgang til apper og ressurser på dag én. Fra et sikkerhetsperspektiv er det også viktig å automatisere avvikling under avlasting av ansatte for å sikre at tidligere ansatte ikke beholder tilgangen til bedriftens ressurser.
Microsoft Entra tjeneste for klargjøring av brukere integreres med skybaserte og lokale HR-apper, for eksempel Workday og SAP SuccessFactors. Du kan konfigurere tjenesten til å automatisere klargjøring og avvikling av brukere når en ansatt opprettes eller deaktiveres i HR-systemet.
Hvis du vil lære mer, kan du se:
- Hva er HR-drevet klargjøring med Microsoft Entra ID?
- Planlegge en automatisk distribusjon av brukerklargjøring for Microsoft Entra ID
Deleger brukeradministrasjon med Mine ansatte
Med Mine ansatte-funksjonen i Microsoft Entra ID kan du delegere vanlige brukerstyringsoppgaver til frontlinjeledere gjennom Mine ansatte-portalen. Frontline-ledere kan utføre tilbakestilling av passord eller administrere telefonnumre for frontlinjearbeidere direkte fra butikken eller fabrikkgulvet, uten å måtte rute forespørslene til kundestøtte, drift eller IT.
My Staff gjør det også mulig for frontlinjeledere å registrere teammedlemmenes telefonnumre for SMS-pålogging. Hvis SMS-basert godkjenning er aktivert i organisasjonen, kan frontlinjearbeidere logge på Teams og andre apper ved hjelp av bare telefonnumrene og et engangspassord som sendes via SMS. Dette gjør det enkelt og raskt å logge på for frontlinjearbeidere.
Delt enhetsmodus
Med funksjonen for delt enhetsmodus i Microsoft Entra ID kan du konfigurere enheter som skal deles av ansatte. Denne funksjonen aktiverer enkel pålogging (SSO) og enhetsomfattende pålogging for Teams og alle andre apper som støtter delt enhetsmodus.
Slik fungerer delt enhetsmodus ved hjelp av Teams som et eksempel. Når en ansatt logger seg på Teams i begynnelsen av skiftet, logges de automatisk på alle andre apper som støtter delt enhetsmodus på enheten. Når de logger av Teams på slutten av skiftet, logges de av alle andre apper som støtter delt enhetsmodus. Når du har logget av, kan ikke den ansattes data og firmadata i Teams og i alle andre apper som støtter delt enhetsmodus, nås. Enheten er klar for bruk av den neste ansatte.
Du kan integrere denne funksjonen i bransjespesifikke apper (LOB) ved hjelp av Microsofts godkjenningsbibliotek (MSAL).
Godkjenning
Godkjenningsfunksjoner kontrollerer hvem eller hva som bruker en konto til å få tilgang til programmer, data og ressurser.
Som tidligere nevnt bruker Microsoft 365 for frontlinjearbeidere Microsoft Entra ID som den underliggende identitetstjenesten for å sikre Microsoft 365-apper og -ressurser. Hvis du vil lære mer om godkjenning i Microsoft Entra ID, kan du se Hva er Microsoft Entra-godkjenning? Og hvilke godkjennings- og bekreftelsesmetoder er tilgjengelige i Microsoft Entra ID?.
Godkjenning med flere faktorer
Microsoft Entra godkjenning med flere faktorer (MFA) fungerer ved å kreve to eller flere av følgende godkjenningsmetoder ved pålogging:
- Noe brukeren vet, vanligvis et passord.
- Noe brukeren har, for eksempel en klarert enhet som ikke er lett å duplisere, for eksempel en telefon- eller maskinvarenøkkel.
- Noe brukeren er - biometri som et fingeravtrykk eller ansiktsskanning.
MFA støtter flere former for bekreftelsesmetoder, inkludert Microsoft Authenticator-appen, FIDO2-nøkler, SMS og taleanrop.
MFA gir et høyt sikkerhetsnivå for apper og data, men øker friksjonen til brukerpåloggingen. For organisasjoner som velger BYOD-distribusjoner, kan det hende at MFA ikke er et praktisk alternativ. Det anbefales på det sterkeste at forretnings- og tekniske team validerer brukeropplevelsen med MFA før en bred utrulling, slik at brukerpåvirkningen kan vurderes riktig i endringsstyring og beredskap.
Hvis MFA ikke er mulig for organisasjonen eller distribusjonsmodellen, bør du planlegge å bruke robuste policyer for betinget tilgang for å redusere sikkerhetsrisikoen.
Godkjenning uten passord
Hvis du vil forenkle tilgangen ytterligere for arbeidsstyrken i frontlinjen, kan du bruke passordløse godkjenningsmetoder slik at arbeidere ikke trenger å huske eller skrive inn passordene sine. Godkjenningsmetoder uten passord fjerner bruken av et passord ved pålogging og erstatter det med:
- Noe brukeren har, for eksempel en telefon eller sikkerhetsnøkkel.
- Noe brukeren er eller vet, for eksempel biometri eller en PIN-kode.
Godkjenningsmetoder uten passord er vanligvis også sikrere, og mange kan oppfylle MFA-krav om nødvendig.
Før du fortsetter med en passordløs godkjenningsmetode, må du avgjøre om den kan fungere i det eksisterende miljøet. Vurderinger som kostnad, OS-støtte, krav til personlig enhet og MFA-støtte kan påvirke om en godkjenningsmetode vil fungere for dine behov.
Se tabellen nedenfor for å vurdere godkjenningsmetoder uten passord for frontlinjescenarioet.
| Metode | OS-støtte | Krever personlig enhet | Støtter MFA |
|---|---|---|---|
| Microsoft Authenticator | Alle | Ja | Ja |
| SMS-pålogging | Android og iOS | Ja | Nei |
| Windows Hello | Windows | Nei | Ja |
| FIDO2-nøkkel | Windows | Nei | Ja |
Hvis du vil ha mer informasjon, kan du se alternativer for godkjenning uten passord for Microsoft Entra ID og konfigurere og aktivere brukere for SMS-basert godkjenning ved hjelp av Microsoft Entra ID.
Autorisasjon
Godkjenningsfunksjoner kontrollerer hva en godkjent bruker kan gjøre eller få tilgang til. I Microsoft 365 oppnås dette gjennom en kombinasjon av Microsoft Entra policyer for betinget tilgang og policyer for appbeskyttelse.
Implementering av robuste godkjenningskontroller er en viktig komponent i å sikre distribusjon av delte enheter i frontlinjen, spesielt hvis det ikke er mulig å implementere sterke godkjenningsmetoder som MFA av kostnader eller praktiske årsaker.
Microsoft Entra betinget tilgang
Med betinget tilgang kan du opprette regler som begrenser tilgangen basert på følgende signaler:
- Bruker- eller gruppemedlemskap
- Informasjon om IP-plassering
- Enhet (bare tilgjengelig hvis enheten er registrert i Microsoft Entra ID)
- App
- Registrering av sanntid og beregnet risiko
Policyer for betinget tilgang kan brukes til å blokkere tilgang når en bruker er på en ikke-kompatible enhet, eller når vedkommende er på et ikke-klarert nettverk. Du kan for eksempel bruke betinget tilgang til å hindre brukere i å få tilgang til en lagerapp når de ikke er på jobbnettverket eller bruker en uadministrert enhet, avhengig av organisasjonens analyse av gjeldende lover.
For BYOD-scenarioer der det er fornuftig å få tilgang til data utenfor arbeid, for eksempel HR-relatert informasjon, skiftadministrasjon, chat om bytte av skift eller ikke-forretningsrelaterte apper, kan du velge å implementere mer tillatte policyer for betinget tilgang sammen med sterke godkjenningsmetoder som MFA.
Hvis du vil ha mer informasjon, kan du se Microsoft Entra dokumentasjon for betinget tilgang.
Appbeskyttelsespolicyer
Med administrasjon av mobilprogrammer (MAM) fra Intune kan du bruke appbeskyttelsespolicyer med apper som er integrert med Intune App SDK. Dette gjør at du kan beskytte organisasjonens data i en app ytterligere.
Med appbeskyttelsespolicyer kan du legge til tilgangskontrollsikringer, for eksempel:
- Kontroller deling av data mellom apper.
- Forhindre lagring av firmaappdata til en personlig lagringsplassering.
- Kontroller at enhetens operativsystem er oppdatert.
I en distribusjon av delte enheter kan du bruke appbeskyttelsespolicyer for å sikre at data ikke lekker til apper som ikke støtter delt enhetsmodus. I BYOD-scenarioer er policyer for appbeskyttelse nyttige fordi de lar deg beskytte dataene dine på appnivå uten å måtte administrere hele enheten.
Begrens tilgangen til Teams når frontlinjearbeidere er utenfor skift
Med arbeidstidsfunksjonen kan du bruke policyer for appbeskyttelse til å begrense tilgangen til Teams for skiftarbeidere på BYOD eller dedikerte enheter som eies av firmaet. Denne funksjonen lar deg blokkere tilgang eller vise en advarsel når frontlinjearbeidere får tilgang til Teams i fritiden.
Hvis du vil ha mer informasjon, kan du se Begrense tilgangen til Teams når frontlinjearbeidere er utenfor skift.