Gestire i dispositivi condivisi per i ruoli di lavoro in prima linea
Panoramica
Molti lavoratori in prima linea usano dispositivi mobili condivisi per lavorare. I dispositivi condivisi sono dispositivi di proprietà dell'azienda condivisi tra i dipendenti per attività, turni o posizioni.
Di seguito viene riportato un esempio di uno scenario tipico. Un'organizzazione dispone di un pool di dispositivi negli alloggiamenti di carica da condividere tra tutti i dipendenti. All'inizio di un turno, un dipendente preleva un dispositivo dal pool e accede a Microsoft Teams e ad altre app aziendali essenziali per il proprio ruolo. Al termine del turno, questi si disconnette e restituisce il dispositivo al pool. Un lavoratore può restituire un dispositivo anche nell’ambito di un turno, ad esempio al termine di un'attività o nella pausa pranzo e quindi prelevarne uno diverso e iniziare nuovamente un’attività.
I dispositivi condivisi presentano problemi di sicurezza univoci. Ad esempio, i dipendenti potrebbero avere accesso ai dati aziendali o dei clienti che non dovrebbero essere disponibili per altri utenti nello stesso dispositivo. Le organizzazioni che distribuiscono dispositivi condivisi devono definire l'esperienza di accesso e disconnessione e implementare controlli per impedire l'accesso non autorizzato o imprevisto ad app e dati quando i dispositivi vengono distribuiti tra i dipendenti.
Questo articolo illustra le funzionalità e le considerazioni per la distribuzione e la gestione dei dispositivi condivisi per consentire alla forza lavoro in prima linea di usare i dispositivi necessari per svolgere il lavoro. Usare queste linee guida per pianificare e gestire la distribuzione in prima linea.
Modalità dispositivo condiviso
È consigliabile usare la modalità dispositivo condiviso per i dispositivi condivisi del ruolo di lavoro in prima linea, quando possibile.
La modalità dispositivo condiviso è una funzionalità di Microsoft Entra ID che consente alle organizzazioni di configurare un dispositivo Android, iOS o iPadOS in modo che possa essere facilmente condiviso da più dipendenti. I dipendenti possono accedere una sola volta e ottenere l'accesso ai dati in tutte le app supportate senza avere accesso ai dati di altri dipendenti. Al termine del turno o dell'attività, si disconnettono una volta e si disconnettono dal dispositivo e da tutte le app supportate, rendendo il dispositivo pronto per l'uso da parte del dipendente successivo.
Vantaggi principali dell'abilitazione della modalità dispositivo condiviso nei dispositivi
- Single Sign-On: consente agli utenti di accedere a un'app che supporta la modalità dispositivo condiviso una sola volta e ottenere un'autenticazione semplice in tutte le altre app che supportano la modalità dispositivo condiviso senza dover immettere nuovamente le credenziali. Escludere gli utenti dalle schermate dell'esperienza di prima esecuzione nei dispositivi condivisi.
- Single Sign-Out: consente agli utenti di disconnettersi facilmente da un dispositivo senza dover disconnettersi singolarmente da ogni app che supporta la modalità dispositivo condiviso. Fornire agli utenti la garanzia che i dati non vengano visualizzati in modo inappropriato agli utenti successivi, dato che le app garantiscono l'applicazione della pulizia dei dati utente memorizzati nella cache e dei criteri di protezione delle app.
- Supporto per l'applicazione dei requisiti di sicurezza tramite i criteri di accesso condizionale: offre agli amministratori la possibilità di definire criteri di accesso condizionale specifici nei dispositivi condivisi, assicurando che i dipendenti abbiano accesso ai dati aziendali solo quando il dispositivo condiviso soddisfa gli standard di conformità interni.
Introduzione alla modalità dispositivo condiviso
È possibile configurare i dispositivi per la modalità dispositivo condiviso manualmente o tramite la soluzione di gestione dei dispositivi mobili (MDM) usando il provisioning zero-touch. Per altre informazioni, vedere Panoramica della modalità dispositivo condiviso.
Gli sviluppatori possono aggiungere il supporto per la modalità dispositivo condiviso alle app usando Microsoft Authentication Library (MSAL). Per altre informazioni su come integrare le app con la modalità dispositivo condiviso, vedere:
- Modalità dispositivo condiviso per dispositivi Android
- Esercitazione: Usare la modalità dispositivo condiviso nell'applicazione Android
- Modalità dispositivo condiviso per dispositivi iOS
Autenticazione a più fattori
Microsoft Entra multifactor authentication (MFA) aggiunge ulteriore sicurezza solo usando una password quando un utente accede. MFA è un ottimo modo per aumentare la sicurezza, anche se potrebbe aggiungere problemi all'esperienza di accesso per alcuni utenti con il livello di sicurezza aggiuntivo oltre a dover ricordare le password.
È importante convalidare l'esperienza utente prima dell'implementazione in modo da poter prepararsi per la gestione delle modifiche e le attività di preparazione.
Se l'autenticazione a più fattori non è fattibile per l'organizzazione, è consigliabile pianificare l'implementazione di criteri di accesso condizionale affidabili per ridurre i rischi per la sicurezza. Alcuni criteri comuni di accesso condizionale da applicare quando l'autenticazione a più fattori non viene usata nei dispositivi condivisi includono:
- Conformità dispositivo
- Percorsi di rete attendibili
- Il dispositivo è gestito
Assicurarsi di valutare i criteri di accesso condizionale e i criteri di protezione delle app da applicare per assicurarsi che soddisfino le esigenze dell'organizzazione.
Accesso senza dominio
È possibile semplificare l'esperienza di accesso in Teams per iOS e Android precompilando il nome di dominio nella schermata di accesso per gli utenti nei dispositivi condivisi e gestiti.
Gli utenti accedono immettendo solo la prima parte del nome dell'entità utente (UPN). Ad esempio, se il nome utente è 123456@contoso.com o alexw@contoso.com, gli utenti possono accedere usando rispettivamente solo "123456" o "alexw" e la password. L'accesso a Teams è più veloce e semplice, soprattutto per i ruoli di lavoro in prima linea nei dispositivi condivisi, che accedono e escono regolarmente.
È anche possibile abilitare l'accesso senza dominio per le app line-of-business personalizzate.
Altre informazioni sull'accesso senza dominio.
Accesso condizionale
Usare i criteri di accesso condizionale per applicare i controlli appropriati quando necessario per proteggere l'organizzazione. È possibile creare regole che limitano l'accesso in base a segnali basati su identità che includono:
- Appartenenza a utenti o gruppi
- Informazioni sulla posizione IP
- Dispositivo (disponibile solo se il dispositivo è registrato in Microsoft Entra ID)
- App
- Rilevamento dei rischi calcolato e in tempo reale
Ad esempio, è possibile usare un criterio di accesso condizionale per limitare l'accesso in modo che solo i dispositivi condivisi contrassegnati come conformi possano accedere alle app e ai servizi dell'organizzazione. Ecco alcune risorse utili per iniziare:
Criteri di protezione delle app
Con la gestione delle applicazioni mobili (MAM) di Intune, è possibile usare i criteri di protezione delle app per garantire che i dati non vengano persi nelle app che non supportano la modalità dispositivo condiviso. Per evitare la perdita di dati, abilitare i criteri di protezione delle app seguenti nei dispositivi condivisi:
- Disabilitare la copia/incolla nelle app abilitate per la modalità dispositivo non condivisa.
- Disabilitare il salvataggio dei file locali.
- Disabilitare le funzionalità di trasferimento dei dati nelle app abilitate per la modalità dispositivo non condivisa.
Concedere automaticamente il consenso alle app per le funzionalità del dispositivo
In un dispositivo condiviso è importante rimuovere le schermate non necessarie che potrebbero essere visualizzate quando un utente accede a un'app la prima volta. Queste schermate possono includere richieste per concedere all'app l'autorizzazione per l'uso delle funzionalità del dispositivo, ad esempio il microfono o la fotocamera, o la posizione di accesso. È possibile usare i criteri di configurazione delle app in Intune nei dispositivi condivisi Android per preconfigurare le autorizzazioni dell'app per accedere alle funzionalità dei dispositivi.
Se si usa una soluzione MDM di terze parti, consultare la documentazione per le opzioni disponibili per concedere automaticamente il consenso alle app per accedere alle funzionalità del dispositivo.