Gedeelde apparaten beheren voor frontlijnmedewerkers

• Van toepassing op:

  Microsoft Teams, Microsoft 365 for frontline workers

Overzicht

Veel frontlinemedewerkers gebruiken gedeelde mobiele apparaten om te werken. Gedeelde apparaten zijn apparaten die eigendom zijn van het bedrijf en die door werknemers gedeeld worden tussen taken, diensten of locaties.

Hier is een voorbeeld van een typisch scenario. Een organisatie heeft een groep apparaten in een oplaadstations die over alle werknemers moet worden verdeeld. Aan het begin van een dienst neemt een werknemer een apparaat op uit de pool en meldt zich aan bij Microsoft Teams en andere zakelijke apps die essentieel zijn voor hun rol. Aan het einde van hun dienst melden ze zich af en brengen ze het apparaat terug naar de groep. Zelfs binnen dezelfde dienst kan een werknemer een apparaat terugbrengen wanneer deze een taak voltooit of uitklokt voor de lunch en vervolgens een ander apparaat ophalen wanneer hij weer inklokt.

Gedeelde apparaten bieden unieke beveiligingsuitdagingen. Werknemers kunnen bijvoorbeeld toegang hebben tot bedrijfs- of klantgegevens die niet beschikbaar mogen zijn voor anderen op hetzelfde apparaat. Organisaties die gedeelde apparaten implementeren, moeten de aanmeldings- en afmeldingservaring definiëren en besturingselementen implementeren om onbevoegde of onbedoelde toegang tot apps en gegevens te voorkomen wanneer apparaten tussen werknemers worden overgedragen.

In dit artikel worden mogelijkheden en overwegingen besproken voor het implementeren en beheren van gedeelde apparaten om uw frontlinemedewerkers te helpen de apparaten te gebruiken die ze nodig hebben om hun werk te doen. Gebruik deze richtlijnen om uw frontline-implementatie te plannen en te beheren.

Modus voor gedeelde apparaten

We raden u aan de modus gedeelde apparaten te gebruiken voor uw frontline worker gedeelde apparaten, waar mogelijk.

De modus Gedeeld apparaat is een Microsoft Entra ID-functie waarmee organisaties een Android-, iOS- of iPadOS-apparaat kunnen configureren, zodat het eenvoudig kan worden gedeeld door meerdere werknemers. Werknemers kunnen zich eenmalig aanmelden en toegang krijgen tot hun gegevens in alle ondersteunde apps zonder toegang te hebben tot de gegevens van andere werknemers. Wanneer ze hun dienst of taak hebben voltooid, melden ze zich eenmaal af en worden ze afgemeld bij het apparaat en alle ondersteunde apps, zodat het apparaat klaar is voor gebruik door de volgende werknemer.

Belangrijkste voordelen van het inschakelen van de modus voor gedeelde apparaten op apparaten

• Eenmalige aanmelding: hiermee kunnen gebruikers zich eenmalig aanmelden bij één app die de modus voor gedeelde apparaten ondersteunt en naadloze verificatie krijgen in alle andere apps die ondersteuning bieden voor de modus voor gedeelde apparaten zonder referenties opnieuw in te voeren. Gebruikers uitsluiten van de eerste uitvoering van ervaringsschermen op gedeelde apparaten.
• Eenmalige afmelding: hiermee kunnen gebruikers zich eenvoudig afmelden bij een apparaat zonder dat ze zich afzonderlijk hoeven af te melden bij elke app die de modus voor gedeelde apparaten ondersteunt. Geef gebruikers de zekerheid dat hun gegevens niet ongepast worden weergegeven aan volgende gebruikers, op basis van het feit dat de apps ervoor zorgen dat alle gebruikersgegevens in de cache worden opgeschoond en dat app-beveiligingsbeleid wordt toegepast.
• Ondersteuning voor het afdwingen van beveiligingsvereisten met behulp van beleid voor voorwaardelijke toegang: biedt beheerders de mogelijkheid om specifieke beleidsregels voor voorwaardelijke toegang op gedeelde apparaten af te dwingen, zodat werknemers alleen toegang hebben tot bedrijfsgegevens wanneer hun gedeelde apparaat voldoet aan de interne nalevingsstandaarden.

Aan de slag met de modus gedeelde apparaten

U kunt apparaten handmatig instellen voor de modus gedeelde apparaten of via uw MDM-oplossing (Mobile Device Management) met behulp van zero-touch-inrichting. Zie Overzicht van de modus voor gedeelde apparaten voor meer informatie.

Ontwikkelaars kunnen ondersteuning voor de modus gedeelde apparaten toevoegen aan uw apps met behulp van de Microsoft Authentication Library (MSAL). Zie voor meer informatie over het integreren van uw apps met de modus voor gedeelde apparaten:

• Modus Gedeeld apparaat voor Android-apparaten
• Zelfstudie: De modus Gedeeld apparaat gebruiken in uw Android-toepassing
• Modus Gedeeld apparaat voor iOS-apparaten

Meervoudige verificatie

Microsoft Entra multifactor authentication (MFA) voegt extra beveiliging toe boven alleen het gebruik van een wachtwoord wanneer een gebruiker zich aanmeldt. MFA is een uitstekende manier om de beveiliging te verhogen, hoewel het voor sommige gebruikers extra wrijving kan veroorzaken bij het aanmelden met de extra beveiligingslaag boven op het onthouden van hun wachtwoorden.

Het is belangrijk om de gebruikerservaring vóór de implementatie te valideren, zodat u zich kunt voorbereiden op wijzigingsbeheer en gereedheidsinspanningen.

Als MFA niet haalbaar is voor uw organisatie, moet u een robuust beleid voor voorwaardelijke toegang implementeren om het beveiligingsrisico te verminderen. Enkele algemene beleidsregels voor voorwaardelijke toegang die moeten worden toegepast wanneer MFA niet wordt gebruikt op gedeelde apparaten, zijn onder andere:

• Apparaat naleving
• Vertrouwde netwerklocaties
• Apparaat wordt beheerd

Zorg ervoor dat u het beleid voor voorwaardelijke toegang en het beveiligingsbeleid voor apps evalueert dat u wilt toepassen om ervoor te zorgen dat ze voldoen aan de behoeften van uw organisatie.

Aanmelden met geen domein

U kunt de aanmeldingservaring in Teams voor iOS en Android vereenvoudigen door de domeinnaam vooraf in te vullen op het aanmeldingsscherm voor gebruikers op gedeelde en beheerde apparaten.

Gebruikers melden zich aan door alleen het eerste deel van hun UPN (User Principal Name) in te voeren. Als de gebruikersnaam bijvoorbeeld of alexw@contoso.comis123456@contoso.com, kunnen gebruikers zich aanmelden met behulp van respectievelijk '123456' of 'alexw' en hun wachtwoord. Aanmelden bij Teams gaat sneller en eenvoudiger, met name voor frontlijnmedewerkers op gedeelde apparaten, die zich regelmatig aanmelden en afmelden.

U kunt ook aanmelden met een domein inschakelen voor uw aangepaste LOB-apps (Line-Of Business).

Meer informatie over aanmelden met een domein.

Voorwaardelijke toegang

Gebruik beleid voor voorwaardelijke toegang om de juiste besturingselementen toe te passen wanneer dat nodig is om uw organisatie veilig te houden. U kunt regels maken die de toegang beperken op basis van identiteitsgestuurde signalen, waaronder:

• Lidmaatschap van gebruiker of groep
• IP-locatiegegevens
• Apparaat (alleen beschikbaar als het apparaat is ingeschreven bij Microsoft Entra ID)
• App
• Realtime en berekende risicodetectie

U kunt bijvoorbeeld beleid voor voorwaardelijke toegang gebruiken om de toegang te beperken, zodat alleen gedeelde apparaten die zijn gemarkeerd als compatibel, toegang hebben tot de apps en services van uw organisatie. Hier volgen enkele bronnen om u op weg te helpen:

• Een implementatie van voorwaardelijke toegang plannen
• Een beleid voor voorwaardelijke toegang maken

Beleid voor app-beveiliging

Met Mobile Application Management (MAM) van Intune kunt u beveiligingsbeleid voor apps gebruiken om ervoor te zorgen dat er geen gegevens lekken naar apps die de modus voor gedeelde apparaten niet ondersteunen. Schakel het volgende app-beveiligingsbeleid op gedeelde apparaten in om gegevensverlies te voorkomen:

• Schakel kopiëren/plakken naar apps waarvoor de modus voor niet-gedeelde apparaten is ingeschakeld uit.
• Lokaal bestand opslaan uitschakelen.
• Schakel mogelijkheden voor gegevensoverdracht uit naar apps waarvoor niet-gedeelde apparaatmodus is ingeschakeld.

Automatisch toestemming verlenen aan apps voor apparaatfuncties

Op een gedeeld apparaat is het belangrijk om onnodige schermen te verwijderen die kunnen verschijnen wanneer een gebruiker een app de eerste keer opent. Deze schermen kunnen vragen bevatten om de app toestemming te geven voor het gebruik van apparaatfuncties, zoals de microfoon of camera, of toegangslocatie. U kunt app-configuratiebeleid in Intune op gedeelde Android-apparaten gebruiken om app-machtigingen vooraf te configureren voor toegang tot apparaatfuncties.

Als u een MDM-oplossing van derden gebruikt, raadpleegt u de documentatie voor beschikbare opties om apps automatisch toestemming te geven voor toegang tot apparaatfuncties.

Verwante artikelen

• Overzicht van apparaatbeheer voor frontlijnmedewerkers