保護前線工作者的最佳做法
前線工人是每個組織的骨幹。 它們讓倉庫保持庫存,確保機器順暢地運行,組織商店位置,並作為客戶的第一個接觸點。 我們依靠他們以加速的速度提供一致的品質,同時管理個人安全風險、增加盜竊,以及持續的供應鏈中斷。
越來越多的組織讓資訊工作者(IW)和一線員工(FLWs)能夠在同一個雲端式應用程式中共同作業,例如 SharePoint、Teams 等。由於這些雲端式應用程式可在因特網上使用,因此組織必須考慮如何保護環境,包括防止遠端帳戶中斷。
對於資訊工作者來說,許多組織都希望讓使用者在任何裝置上都能更安全地工作,如 Microsoft的零信任最佳做法所述,。 不過,許多前線員工不會落入需要隨處/隨時/任何裝置存取的模型。 相反地,大部分的前線工作者都屬於需要兩種存取類型的模型:
工作存取權(輪班):在工作時,前線工作者可能需要存取敏感性應用程式。
家庭訪問(離班):雖然在家裡或離工地,但大多數前線工人預計不會履行工作職責。 不過,他們可能需要存取非敏感性工作應用程式以進行班外通訊、註冊班次,或檢閱訓練材料。 在某些情況下,他們可能需要存取敏感的個人資訊,例如薪資單或 W2。
本文概述在各種家庭或工作存取案例中保護前線員工的最佳作法。 若要充分掌握這些安全性提示,請務必先瞭解第一線工作者在不同環境中使用的各類裝置。
在一線工作環境中使用的裝置類型
在大部分情況下,前線員工會使用三種主要裝置類型:
共用裝置: 這些是跨工作、班次或位置在員工之間共用的公司擁有裝置。
自備裝置(BYOD): 某些組織會使用自備裝置模型,讓前線員工使用其個人裝置來存取商務應用程式。
公司擁有的單一使用者裝置: 這些裝置只會針對工作目的指派給特定員工,而不是個人用途。 雖然此裝置型號較不頻繁,但我們建議組織使用它,讓前線員工遵循隨處/隨時/任何裝置的最佳做法,如 Microsoft的零信任最佳做法所述,。
前線工作者環境的安全控制
建議使用下列安全性控制,在各種設定中保護前線工作者:
| 安全性控制 | 描述 |
|---|---|
| 行動裝置管理 (MDM) 受控 | 若要保護裝置及其存取的數據,建議系統管理員使用像是 Microsoft Intune之類的 MDM 來管理它們。 |
| 已啟用 共用裝置模式(SDM) |
共用裝置模式 是一項功能,可讓組織為多名員工設定 iOS、iPadOS 或 Android 裝置。 員工可以從共用集區挑選裝置、登入一次,並透過單一登錄自動取得所有 SDM 支援的應用程式存取權。 當輪班結束時,他們會在裝置上全域註銷,這會從所有 SDM 支援的應用程式中移除其個人和公司資訊。 然後,他們可以將其裝置返回共享裝置池,同時確保將設備安全交接給下一位工作者,並且其他使用者無法看到或存取他們的資訊。 建議您在共用裝置上啟用 SDM。 除了Microsoft Intune 之外,請查看支援 Microsoft Entra 共用裝置模式的其他 第三方 MDM。 |
| 應用程式保護原則 | Intune 應用程式保護原則 (APP) 確保組織數據在受控應用程式中保持安全。 為了增強安全性,請先設定 Microsoft Entra 條件式存取原則,以確保您的應用程式在授與使用者存取權之前,會先使用應用程式保護原則來保護您的應用程式。 |
| 閒置畫面鎖定 | 使用 Managed Home Screen 等啟動器應用程式設定畫面閑置鎖定和自動登出功能,以防止惡意同事未經授權的實體存取,從而保護共用的公司裝置。 在 BYOD 上,設定 iOS 和 Android 上的螢幕鎖定功能,以防止本機攻擊。 |
| 裝置合規性 | 部署Microsoft Intune 或支援的第三方 MDM 可讓組織強制執行裝置的合規性需求。 系統管理員可以設定原則,以確保裝置符合安全性標準,例如要求最低OS版本、防止使用越獄或Root破解的裝置等等。 設定時,MDM 會將原則合規性資訊傳送至 Microsoft Entra ID。 裝置合規性條件式存取原則會使用此數據來判斷是否要授與或封鎖資源的存取權,確保只有具有相容裝置的使用者才能存取組織資源。 |
| 互動式使用者驗證 | 互動式使用者驗證可確保只有授權的使用者才能在登入裝置、應用程式或服務時存取資源。 系統管理員應該選擇符合或超過組織安全性、可用性和可用性標準的 Microsoft Entra ID 驗證方法。 |
前線工作者的存取案例
工作存取權 (輪班時間)
在工作時,前線工作者可以從安全或公用位置或網路存取敏感性應用程式。 這類案例需要對所有裝置類型進行更嚴格的控制,包括共用、BYOD 和公司擁有的單一用戶裝置。
建議的最佳做法是只允許從 MDM 管理的相容裝置存取。 這可讓身分識別系統在繼續進行互動式用戶驗證之前,以無訊息方式驗證裝置合規性的第一個重要層面,最好是 MFA,以增強安全性再授與存取權。 保護使用者及防止數據遺失案例的其他建議包括:
- 整合 Intune App SDK 並設定 Microsoft Entra 條件式存取原則。 此外,在註銷期間,啟用 Intune 的 選擇性抹除 功能,並 在 iOS 上取消註冊使用者。
- 使用 Managed Home Screen等啟動器應用程式,在共用裝置上設定閑置畫面鎖定或自動登出。 在 BYOD 案例中,使用 iOS 和 Android 的螢幕鎖定功能。
- 啟用共用裝置模式 (SDM) 來保護共用裝置上的用戶數據,並使用裝置改善前線工作者的驗證體驗。
家庭存取(換班)
在國內,前線工人應限制存取限制班外通訊或審查基本培訓材料所需的非敏感性商務應用程式。 某些組織可能也允許存取敏感數據,例如支付單。 針對這些案例,我們建議使用下列安全性最佳做法:
- 啟用互動式多重要素驗證
- 套用閒置畫面鎖定和 應用程式保護原則。
- 遵循 Microsoft 零信任最佳做法中所描述的隨處/隨時/任何裝置的最佳做法,尤其是在您的組織需要在非輪班期間向第一線員工提供敏感應用程式的存取時。
注意
雖然許多組織都遵循前線員工家庭或工作存取模型,但某些組織可能會有內部原則,可讓員工隨時隨地存取任何裝置。 這類組織需要在前線工作者套用與資訊工作者相同的政策,因此,會遵循任何地點/任何時間/任何裝置的最佳實踐,如 Microsoft 的零信任最佳做法所述,。
保護前線工作者的最佳做法
下圖摘要說明在上一節所述的各種家庭或工作存取案例中保護前線員工的建議最佳做法。
開始使用保護前線員工的最佳做法
若要為前線員工套用最佳做法,請採取下列步驟
將前線工作者情境 對應至本文所列的其中一個情境。
檢閱適用的安全性控制:
- 使用 MDM 的裝置管理,例如 Microsoft Intune。
- 實作共用裝置模式。
- 強制執行應用程式保護原則和 Microsoft Entra 條件式存取 原則。
- 利用類似於 Managed Home Screen 的啟動器應用程式和作業系統所提供的閒置螢幕鎖定功能,如 iOS 和 Android。
- 根據 裝置合規性條件式存取,檢查裝置是否符合安全性需求。
- 使用 Microsoft Entra ID 啟用互動式使用者驗證。
根據您的案例建議的最佳做法,套用控件。