管理一线工作人员的共享设备

概述

许多一线工作人员使用共享移动设备来完成工作。 共享设备是公司拥有的设备,在员工之间跨任务、班次或位置共享。

下面是典型场景的示例。 组织有一个设备池,这些设备正在充电,可供所有员工共享。 在轮班开始时,员工从池中选取设备,并登录Microsoft Teams 和其他对其角色至关重要的业务应用。 在轮班结束时,他们注销并将设备返回到池中。 即使在同一班次中,工作人员在完成任务或下班打卡吃午餐时也可能会返回设备,然后在重新回来时选取其他设备。

共享设备存在独特的安全挑战。 例如,员工可能有权访问不应在同一设备上对其他人可用的公司或客户数据。 部署共享设备的组织必须定义登录和注销体验,并实施控制,以防止在员工之间移交设备时未经授权或意外地访问应用和数据。

本文介绍部署和管理共享设备的功能和注意事项,以帮助一线员工使用完成工作所需的设备。 使用本指南来帮助计划和管理一线部署。

共享设备模式

建议尽可能对一线员工共享设备使用 共享设备模式

共享设备模式是一项Microsoft Entra ID 功能,它允许组织配置 Android、iOS 或 iPadOS 设备,以便可由多个员工轻松共享。 员工只需登录一次,即可跨所有受支持的应用访问其数据,而无需访问其他员工的数据。 完成排班或任务后,他们注销一次,然后注销设备和所有受支持的应用,使设备可供下一名员工使用。

在设备上启用共享设备模式的主要优势

  • 单一登录:允许用户登录一次支持共享设备模式的应用,并在支持共享设备模式的所有其他应用中获得无缝身份验证,而无需重新输入凭据。 用户无需在共享设备上首次运行体验屏幕。
  • 单一注销:允许用户轻松从设备注销,而无需从支持共享设备模式的每个应用单独注销。 向用户保证其数据不会不恰当地显示给后续用户,因为应用可确保清理任何缓存的用户数据并应用保护策略。
  • 支持使用条件访问策略强制实施安全要求:使管理员能够针对共享设备上的特定条件访问策略,确保员工仅当共享设备符合内部合规性标准时才有权访问公司数据。

共享设备模式入门

可以手动或通过移动设备管理 (使用零接触预配的 MDM) 解决方案为共享设备模式设置设备。 若要了解详细信息,请参阅 共享设备模式概述

开发人员可以使用 Microsoft 身份验证库 (MSAL) 向应用添加对共享设备模式的支持。 有关如何将应用与共享设备模式集成的详细信息,请参阅:

多重身份验证

Microsoft Entra 多重身份验证 (MFA) 在用户登录时仅使用密码增加了额外的安全性。 MFA 是提高安全性的好方法,尽管它可能会给某些用户的登录体验增加摩擦,除了必须记住其密码外,还有额外的安全层。

请务必在推出之前验证用户体验,以便为变更管理和准备工作做好准备。

如果 MFA 对组织来说不可行,则应计划实施可靠的条件访问策略,以降低安全风险。 在共享设备上不使用 MFA 时要应用的一些常见条件访问策略包括:

  • 设备合规性
  • 受信任的网络位置
  • 设备受管理

请务必评估要应用的条件访问策略和应用保护策略,以确保它们满足组织的需求。

无域登录

通过在共享和托管设备上的用户登录屏幕上预填充域名,可以简化适用于 iOS 和 Android 的 Teams 登录体验。

用户只需输入其用户主体名称的第一部分即可登录, (UPN) 。 例如,如果用户名为 123456@contoso.com 或 alexw@contoso.com,则用户可以分别仅使用“123456”或“alexw”及其密码登录。 登录到 Teams 会更快、更轻松,尤其是对于共享设备上的一线员工,他们经常登录和注销。

还可以为自定义业务线启用无域登录, (LOB) 应用。

详细了解无域登录

条件访问

使用 条件访问 策略在需要时应用正确的控制措施,以确保组织的安全。 可以创建基于标识驱动信号限制访问的规则,这些信号包括:

  • 用户或组成员身份
  • IP 位置信息
  • 设备 (仅在设备注册Microsoft Entra ID)
  • 应用
  • 实时和计算风险检测

例如,可以使用条件访问策略来限制访问,以便只有标记为合规的共享设备才能访问组织的应用和服务。 下面是一些可帮助你入门的资源:

应用保护策略

使用来自 Intune 的移动应用程序管理 (MAM) ,可以使用 应用保护策略 来确保数据不会泄漏到不支持共享设备模式的应用。 若要帮助防止数据丢失,请在共享设备上启用以下应用保护策略:

  • 禁用对启用了非共享设备模式的应用的复制/粘贴。
  • 禁用本地文件保存。
  • 禁用对启用了非共享设备模式的应用的数据传输功能。

在共享设备上,删除在用户首次访问应用时可能会弹出的不必要的屏幕非常重要。 这些屏幕可以包括向应用授予使用设备功能(如麦克风或相机)或访问位置权限的提示。 可以使用 Android 共享设备上的 Intune 中的应用配置策略 来预配置访问设备功能的应用权限。

如果使用第三方 MDM 解决方案,请查看文档,了解可用于自动向应用授予访问设备功能的许可的选项。