Compartilhar via


Descrição geral da gestão de dispositivos para trabalhadores de primeira linha

Visão Geral

Em todos os setores, os trabalhadores da linha de frente compõem um grande segmento da força de trabalho. As funções do trabalhador de linha de frente incluem associados de varejo, trabalhadores de fábrica, técnicos de campo e de serviço, pessoal de saúde e muito mais.

Como a força de trabalho é em grande parte móvel e muitas vezes baseada em turnos, o gerenciamento dos dispositivos que os funcionários da linha de frente usam é fundamental. Algumas questões a considerar:

  • Os funcionários usam dispositivos de propriedade da empresa ou seus próprios dispositivos pessoais?
  • Os dispositivos de propriedade da empresa são compartilhados entre os funcionários ou atribuídos a um indivíduo?
  • Os trabalhadores levam os dispositivos para casa ou os deixam no local de trabalho?

É importante definir uma linha de base segura e compatível para gerenciar dispositivos para sua força de trabalho, sejam eles dispositivos compartilhados ou dispositivos dos próprios funcionários.

Este artigo fornece uma visão geral de cenários comuns de dispositivos de trabalho de linha de frente e recursos de gerenciamento para ajudar a capacitar sua força de trabalho enquanto protege os dados da empresa. Utilize as informações e considerações para ajudar a planear a implementação do seu dispositivo de primeira linha.

Implementação de dispositivos

Um passo fundamental no planeamento é determinar como irá implementar dispositivos móveis na sua linha da frente e nos sistemas operativos a suportar. Tome estas decisões antecipadamente para que possa avaliar a viabilidade do plano de implementação e da infraestrutura de TI com estes fatores em mente.

Modelos de implantação

Os dispositivos partilhados e o BYOD (Bring Your Own Device) são os tipos de dispositivos mais frequentemente adotados utilizados em organizações de primeira linha. A tabela seguinte lista estes modelos de implementação, juntamente com outros, e considerações relacionadas.

Tipo de dispositivo Descrição Porquê utilizar Considerações de implantação
Dispositivos compartilhados Dispositivos pertencentes e geridos pela sua organização.

Os funcionários acedem a dispositivos enquanto trabalham.
A produtividade dos trabalhadores e a experiência do cliente são uma prioridade máxima.

Os trabalhadores não podem aceder a recursos organizacionais quando não estão no trabalho.

As leis locais podem impedir que os dispositivos pessoais sejam utilizados para fins empresariais.
Defina como o início de sessão e a saída da linha da frente do dispositivo.

Considere utilizar Microsoft Entra políticas de Acesso Condicional para proteger dispositivos partilhados quando a autenticação multifator (MFA) não é uma opção.
Bring-your-own device (BYOD) Dispositivos pessoais pertencentes ao utilizador e geridos pela sua organização. Quer dar aos funcionários uma forma conveniente de marcar horários de turnos, conversar com colegas sobre trocas de turnos ou aceder a recursos de RH, como o paystub.

Os dispositivos partilhados ou os dispositivos dedicados podem não ser práticos do ponto de vista dos custos ou da preparação para a empresa.
Os dispositivos pessoais variam consoante o sistema operativo, o armazenamento e a conectividade.

A utilização de dispositivos pessoais pode ser contra regras sindicais ou regulamentos governamentais.

Alguns trabalhadores podem não ter acesso fiável a um dispositivo móvel pessoal.
Dispositivos dedicados1 Dispositivos pertencentes e geridos pela sua organização e emitidos para um único utilizador. A função de trabalho necessita de um número de telefone dedicado para receber chamadas e mensagens SMS.

A organização requer controlo total sobre o dispositivo e a forma como os funcionários o utilizam.
Custo do hardware dedicado.

O esforço adicionado para a complexidade da implementação e do suporte pode não ser viável em localizações de campo.
Dispositivos de quiosque2 Dispositivos pertencentes e geridos pela sua organização. Os utilizadores não precisam de iniciar ou terminar sessão. O dispositivo tem um objetivo dedicado.

O caso de utilização não requer autenticação de utilizador.
As aplicações de colaboração, comunicação, tarefa e fluxo de trabalho precisam de uma identidade de utilizador para funcionar.

Não é possível auditar a atividade do utilizador.

Não é possível utilizar algumas capacidades de segurança, incluindo a MFA.

1Os dispositivos dedicados são incomuns em implementações de primeira linha, principalmente devido ao elevado custo e esforço para gerir no contexto de um elevado volume de negócios de pessoal.
2As implementações de dispositivos de quiosque não são recomendadas porque não permitem capacidades de segurança baseadas no utilizador e de auditoria do utilizador, como a autenticação multifator. Saiba mais sobre dispositivos de quiosque.

Neste artigo, focamo-nos em dispositivos partilhados e BYOD, uma vez que estes são os modelos de implementação que se adequam às necessidades práticas da maioria das implementações de primeira linha. Continue a ler para obter uma descrição geral das considerações de planeamento e das capacidades de gestão.

Sistema operativo do dispositivo

O modelo de implementação que escolher determina parcialmente os sistemas operativos do dispositivo que suporta. Por exemplo:

  • Se implementar um modelo de dispositivos partilhados, o sistema operativo do dispositivo que escolher determina as capacidades disponíveis. Por exemplo, os dispositivos Windows suportam nativamente a capacidade de armazenar múltiplos perfis de utilizador para início de sessão automatizado e autenticação fácil com Windows Hello. Com o Android e iOS, aplicam-se mais passos e pré-requisitos.
  • Se implementar um modelo BYOD, terá de suportar dispositivos Android e iOS.
SO do Dispositivo Considerações
Android Capacidades nativas limitadas para armazenar múltiplos perfis de utilizador em dispositivos.
Os dispositivos Android podem ser inscritos no modo de dispositivo partilhado para automatizar o início de sessão único e terminar sessão e filtrar as políticas de Acesso Condicional.
Gestão robusta de controlos e APIs.
Ecossistema existente de dispositivos criados para utilização de primeira linha.
iOS e iPadOS Os dispositivos iOS podem ser inscritos no modo de dispositivo partilhado para automatizar o início de sessão único e terminar sessão.
É possível armazenar múltiplos perfis de utilizador em dispositivos iPadOS com o iPad para Empresas partilhado.
Windows Suporte nativo para armazenar múltiplos perfis de utilizador no dispositivo.
Suporta Windows Hello para autenticação sem palavra-passe.
Capacidades de implementação e gestão simplificadas quando utilizadas com Microsoft Intune.

Horizontal do dispositivo

Quando estiver a planear a implementação do dispositivo, existem considerações em várias áreas da superfície. Esta secção descreve a paisagem e os termos a conhecer.

Gerenciamento de dispositivo móvel

As soluções de gestão de dispositivos móveis (MDM), como Microsoft Intune, simplificam a implementação, a gestão e a monitorização de dispositivos.

Um dispositivo só pode ser inscrito numa solução mdm, mas pode utilizar várias soluções mdm para gerir conjuntos separados de dispositivos. Por exemplo, pode utilizar o VMware Workspace ONE ou o SOTI MobiControl para dispositivos partilhados e Intune para BYOD. Se utilizar várias soluções mdm, tenha em atenção que alguns utilizadores poderão não conseguir aceder a dispositivos partilhados devido a um erro de correspondência nas políticas de Acesso Condicional ou nas políticas de gestão de aplicações móveis (MAM).

Se estiver a utilizar uma solução de MDM de terceiros, pode integrar com Intune conformidade de parceiros para tirar partido do Acesso Condicional para dispositivos geridos por soluções mdm de terceiros.

Iniciadores de aplicações para dispositivos Android

Um iniciador de aplicações é uma aplicação que lhe permite proporcionar uma experiência focada para a sua linha de frente com um ecrã de iniciação personalizado, como aplicações, padrões de fundo e posições de ícones. Só pode mostrar as aplicações relevantes que os seus trabalhadores de primeira linha precisam de utilizar e widgets que realçam informações importantes.

A maioria das soluções MDM fornece o seu próprio iniciador de aplicações. Por exemplo, Microsoft Intune fornece a aplicação Microsoft Tela Inicial Gerenciada. Também pode criar o seu próprio iniciador personalizado.

A tabela seguinte lista alguns dos iniciadores de aplicações mais comuns disponíveis atualmente para dispositivos Android pela Microsoft e programadores de terceiros.

Inicializador de aplicativos Recursos
Microsoft Tela Inicial Gerenciada Utilize Tela Inicial Gerenciada quando quiser que os seus utilizadores tenham acesso a um conjunto específico de aplicações nos seus dispositivos dedicados inscritos Intune. Uma vez que Tela Inicial Gerenciada podem ser iniciadas automaticamente como o ecrã principal predefinido no dispositivo e aparecem ao utilizador como o único ecrã principal, é útil em cenários de dispositivos partilhados quando é necessária uma experiência bloqueada. Saiba mais.
Iniciador ONE da Área de Trabalho do VMware Se estiver a utilizar o VMware, o Iniciador da Área de Trabalho ONE é uma ferramenta para organizar um conjunto de aplicações a que a sua linha de frente precisa de aceder. O Iniciador ONE da Área de Trabalho do VMware não suporta atualmente o modo de dispositivo partilhado. Saiba mais.
SOTI Se estiver a utilizar SOTI, o iniciador de aplicações SOTI é a melhor ferramenta para organizar um conjunto de aplicações a que a sua linha de frente precisa de aceder. O iniciador de aplicações SOTI suporta o modo de dispositivo partilhado atualmente.
BlueFletch O BlueFletch Launcher pode ser utilizado em dispositivos, independentemente da sua solução de MDM. O BlueFletch suporta o modo de dispositivo partilhado atualmente. Saiba mais.
Iniciador de aplicações personalizado Se quiser uma experiência totalmente personalizada, pode criar o seu próprio iniciador de aplicações personalizado. Pode integrar o iniciador no modo de dispositivo partilhado para que os utilizadores só precisem de iniciar e terminar sessão uma vez.

O gerenciamento de identidades

Microsoft 365 for frontline workers utiliza Microsoft Entra ID como o serviço de identidade subjacente para fornecer e proteger todas as aplicações e recursos. Os utilizadores têm de ter uma identidade que exista no Microsoft Entra ID para aceder às aplicações do Microsoft 365.

Se optar por gerir identidades de utilizador de primeira linha com Active Directory Domain Services (AD DS) ou um fornecedor de identidade de terceiros, terá de federar estas identidades para Microsoft Entra ID. Saiba como integrar o seu serviço de terceiros com Microsoft Entra ID.

Os padrões de implementação possíveis para gerir identidades de primeira linha incluem:

  • Microsoft Entra autónomo: a sua organização cria e gere identidades de utilizadores, dispositivos e aplicações no Microsoft Entra ID como uma solução de identidade autónoma para as suas cargas de trabalho de primeira linha. Este padrão de implementação é recomendado, uma vez que simplifica a arquitetura de implementação de primeira linha e maximiza o desempenho durante o início de sessão do utilizador.
  • Active Directory Domain Services (AD DS) integração com Microsoft Entra ID: a Microsoft fornece Microsoft Entra Connect para associar estes dois ambientes. Microsoft Entra Connect replica contas de utilizador do Active Directory para Microsoft Entra ID, permitindo que um utilizador tenha uma única identidade capaz de aceder a recursos locais e baseados na cloud. Embora o AD DS e Microsoft Entra ID possam existir como ambientes de diretório independentes, pode optar por criar diretórios híbridos.
  • Sincronização da solução de identidade de terceiros com Microsoft Entra ID: Microsoft Entra ID suporta a integração com fornecedores de identidade de terceiros, como o Okta e o Ping Identity através da federação. Saiba mais sobre como utilizar fornecedores de identidade de terceiros.

Aprovisionamento de utilizadores orientados por RH

Automatizar o aprovisionamento de utilizadores é uma necessidade prática para as organizações que pretendem que os colaboradores de primeira linha possam aceder a aplicações e recursos no primeiro dia. Do ponto de vista da segurança, também é importante automatizar o desaprovisionamento durante a exclusão de funcionários para garantir que os funcionários anteriores não mantêm o acesso aos recursos da empresa.

Microsoft Entra serviço de aprovisionamento de utilizadores integra-se com aplicações de RH baseadas na cloud e no local, como Workday e SAP SuccessFactors. Pode configurar o serviço para automatizar o aprovisionamento e o desaprovisionamento de utilizadores quando um funcionário é criado ou desativado no sistema de RH.

Para saber mais, confira:

Delegar a gestão de utilizadores com a Minha Equipa

Com a funcionalidade A Minha Equipa no Microsoft Entra ID, pode delegar tarefas comuns de gestão de utilizadores aos gestores de primeira linha através do portal O Meu Pessoal. Os gerentes da linha de frente podem realizar redefinições de senha ou gerenciar números de telefone para funcionários da linha de frente diretamente da loja ou do chão de fábrica, sem precisar encaminhar as solicitações para o suporte técnico, operações ou TI.

Minha Equipe também permite que os gerentes da linha de frente registrem os números de telefone dos membros de sua equipe para entrada por SMS. Se a autenticação baseada em SMS estiver habilitada em sua organização, os funcionários da linha de frente poderão entrar no Teams e em outros aplicativos usando apenas seus números de telefone e uma senha de uso único enviada por SMS. Isto torna o início de sessão para trabalhadores de primeira linha simples e rápido.

Modo de dispositivo compartilhado

Com a funcionalidade de modo de dispositivo partilhado do Microsoft Entra ID, pode configurar dispositivos para serem partilhados por funcionários. Esta funcionalidade permite o início de sessão único (SSO) e o fim de sessão em todo o dispositivo para o Teams e todas as outras aplicações que suportam o modo de dispositivo partilhado.

Veja como funciona o modo de dispositivo compartilhado, usando o Teams como exemplo. Quando um funcionário entra no Teams no início do turno, ele entra automaticamente em todos os outros aplicativos que dão suporte ao modo de dispositivo compartilhado no dispositivo. Quando terminam sessão no Teams no final do turno, terminam sessão em todas as outras aplicações que suportam o modo de dispositivo partilhado. Após terminar sessão, os dados do funcionário e os dados da empresa no Teams e em todas as outras aplicações que suportam o modo de dispositivo partilhado já não podem ser acedidos. O dispositivo está pronto para ser utilizado pelo próximo funcionário.

Pode integrar esta capacidade nas suas aplicações de linha de negócio (LOB) com a Biblioteca de Autenticação da Microsoft (MSAL).

Autenticação

As funcionalidades de autenticação controlam quem ou o que utiliza uma conta para obter acesso a aplicações, dados e recursos.

Conforme mencionado anteriormente, Microsoft 365 for frontline workers utiliza Microsoft Entra ID como o serviço de identidade subjacente para proteger aplicações e recursos do Microsoft 365. Para saber mais sobre a autenticação no Microsoft Entra ID, consulte O que é a autenticação Microsoft Entra? e Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?.

Autenticação de vários fatores

Microsoft Entra autenticação multifator (MFA) funciona ao exigir dois ou mais dos seguintes métodos de autenticação ao iniciar sessão:

  • Algo que o utilizador sabe, normalmente uma palavra-passe.
  • Algo que o utilizador tem, como um dispositivo fidedigno que não é facilmente duplicado, como um telemóvel ou uma chave de hardware.
  • Algo que o utilizador é- biometria como uma impressão digital ou análise facial.

A MFA suporta várias formas de métodos de verificação, incluindo a aplicação Microsoft Authenticator, chaves FIDO2, SMS e chamadas de voz.

A MFA fornece um elevado nível de segurança para aplicações e dados, mas adiciona atrito ao início de sessão do utilizador. Para organizações que escolham implementações BYOD, a MFA pode ou não ser uma opção prática. Recomenda-se vivamente que as equipas empresariais e técnicas validem a experiência do utilizador com a MFA antes de uma implementação abrangente para que o impacto do utilizador possa ser devidamente considerado nos esforços de gestão e preparação da mudança.

Se a MFA não for viável para a sua organização ou modelo de implementação, deve planear utilizar políticas de Acesso Condicional robustas para reduzir o risco de segurança.

Autenticação sem palavra-passe

Para simplificar ainda mais o acesso à sua força de trabalho de primeira linha, pode utilizar métodos de autenticação sem palavra-passe para que os trabalhadores não precisem de se lembrar ou introduzir as respetivas palavras-passe. Os métodos de autenticação sem palavra-passe removem a utilização de uma palavra-passe no início de sessão e substituem-na por:

  • Algo que o utilizador tem, como um telefone ou uma chave de segurança.
  • Algo que o utilizador é ou sabe, como biometria ou um PIN.

Normalmente, os métodos de autenticação sem palavra-passe também são mais seguros e muitos podem satisfazer os requisitos da MFA, se necessário.

Antes de prosseguir com um método de autenticação sem palavra-passe, determine se pode funcionar no seu ambiente existente. Considerações como custo, suporte do SO, requisitos de dispositivos pessoais e suporte de MFA podem afetar se um método de autenticação funcionaria para as suas necessidades.

Veja a tabela seguinte para avaliar os métodos de autenticação sem palavra-passe para o seu cenário de primeira linha.

Método Suporte do SO Necessita de um dispositivo pessoal Suporta a MFA
Microsoft Authenticator Todos Sim Sim
Início de sessão por SMS Android e iOS Sim Não
Windows Hello Windows Não Sim
Tecla FIDO2 Windows Não Sim

Para saber mais, veja Opções de autenticação sem palavra-passe para Microsoft Entra ID e Configurar e ativar os utilizadores para autenticação baseada em SMS com Microsoft Entra ID.

Authorization

As funcionalidades de autorização controlam o que um utilizador autenticado pode fazer ou aceder. No Microsoft 365, isto é conseguido através de uma combinação de políticas de Acesso Condicional Microsoft Entra e políticas de proteção de aplicações.

A implementação de controlos de autorização robustos é um componente fundamental da proteção de uma implementação de dispositivos partilhados de primeira linha, especialmente se não for possível implementar métodos de autenticação fortes, como a MFA, por motivos práticos ou de custo.

Acesso Condicional Microsoft Entra

Com o Acesso Condicional, pode criar regras que limitam o acesso com base nos seguintes sinais:

  • Associação de usuário ou grupo
  • Informações de localização do IP
  • Dispositivo (disponível apenas se o dispositivo estiver inscrito no Microsoft Entra ID)
  • App
  • Detecção de risco em tempo real e calculada

As políticas de Acesso Condicional podem ser utilizadas para bloquear o acesso quando um utilizador está num dispositivo não conforme ou quando está numa rede não fidedigna. Por exemplo, poderá querer utilizar o Acesso Condicional para impedir que os utilizadores acedam a uma aplicação de inventário quando não estão na rede de trabalho ou estão a utilizar um dispositivo não gerido, consoante a análise da sua organização das leis aplicáveis.

Para cenários BYOD em que faz sentido aceder a dados fora do trabalho, como informações relacionadas com RH, gestão de turnos, conversas sobre turnos de troca ou aplicações não relacionadas com empresas, pode optar por implementar políticas de Acesso Condicional mais permissivas juntamente com métodos de autenticação fortes como a MFA.

Para saber mais, veja a documentação Microsoft Entra Acesso Condicional.

Políticas de proteção de aplicativos

Com a gestão de aplicações móveis (MAM) do Intune, pode utilizar políticas de proteção de aplicações com aplicações integradas no SDK da Aplicação Intune. Isto permite-lhe proteger ainda mais os dados da sua organização numa aplicação.

Com as políticas de proteção de aplicações, pode adicionar salvaguardas de controlo de acesso, tais como:

  • Controlar o compartilhamento de dados entre aplicativos.
  • Impedir a gravação de dados de aplicativos da empresa em um local de armazenamento pessoal.
  • Certifique-se de que o sistema operativo do dispositivo está atualizado.

Numa implementação de dispositivos partilhados, pode utilizar políticas de proteção de aplicações para garantir que os dados não vazam para aplicações que não suportam o modo de dispositivo partilhado. Em cenários BYOD, as políticas de proteção de aplicações são úteis porque permitem proteger os seus dados ao nível da aplicação sem ter de gerir todo o dispositivo.

Limitar o acesso ao Teams quando os trabalhadores da linha da frente estão fora do turno

Com a funcionalidade de tempo útil, pode utilizar políticas de proteção de aplicações para limitar o acesso ao Teams para trabalhadores por turnos em dispositivos BYOD ou dedicados pertencentes à empresa. Esta funcionalidade permite-lhe bloquear o acesso ou mostrar uma mensagem de aviso quando os trabalhadores da linha da frente acedem ao Teams durante o tempo de descanso.

Para saber mais, consulte Limitar o acesso ao Teams quando os trabalhadores da linha da frente estão fora do turno.