إدارة الأجهزة للعاملين في الخطوط الأمامية
في كل صناعة، يشكل العاملون في الخطوط الأمامية شريحة كبيرة من القوى العاملة. تتضمن أدوار العاملين في الخطوط الأمامية شركاء البيع بالتجزئة، وعمال المصانع، وفنيي المجال والخدمة، وموظفي الرعاية الصحية، وغير ذلك الكثير.
نظرة عامة
نظرا لأن القوى العاملة متنقلة إلى حد كبير وغالبا ما تستند إلى التحول، فإن إدارة الأجهزة التي يستخدمها العاملون في الخطوط الأمامية أمر أساسي. بعض الأسئلة التي يجب مراعاتها:
- هل يستخدم العمال الأجهزة المملوكة للشركة أو أجهزتهم الشخصية الخاصة؟
- هل تتم مشاركة الأجهزة المملوكة للشركة بين العمال أو تعيينها إلى فرد؟
- هل يأخذ العمال الأجهزة إلى المنزل أو يتركونها في مكان العمل؟
من المهم تعيين أساس آمن ومتوافق لإدارة الأجهزة للقوى العاملة الخاصة بك، سواء كانت أجهزة مشتركة أو أجهزة خاصة بالعاملين. توفر لك هذه المقالة نظرة عامة على سيناريوهات أجهزة العاملين في الخطوط الأمامية الشائعة وقدرات الإدارة للمساعدة في تمكين القوى العاملة الخاصة بك مع حماية بيانات الشركة.
أنواع الأجهزة
تعد الأجهزة المشتركة وجلب الأجهزة الخاصة بك والكشك هي أنواع الأجهزة الأكثر شيوعا التي يستخدمها العاملون في الخطوط الأمامية.
| نوع الجهاز | الوصف | لماذا تستخدم | اعتبارات التوزيع |
|---|---|---|---|
| الأجهزة المشتركة | الأجهزة مملوكة ومدارة من قبل مؤسستك. يصل الموظفون إلى الأجهزة أثناء العمل. | تعد إنتاجية العمال وتجربة العملاء أولوية قصوى. لا يمكن للعمال الوصول إلى موارد المؤسسة أثناء عدم وجودهم في العمل. قد تمنع القوانين المحلية استخدام الأجهزة الشخصية لأغراض تجارية. |
يمكن أن يضيف تسجيل الدخول/الخروج الاحتكاك إلى تجربة العامل. إمكانية المشاركة غير المقصودة للبيانات الحساسة. |
| إحضار أجهزتك الخاصة (BYOD) | الأجهزة الشخصية مملوكة للمستخدم وتديرها مؤسستك. | يمنع حل إدارة الأجهزة المحمولة الحالي (MDM) مؤسستك من اعتماد نموذج الأجهزة المشتركة. قد تكون الأجهزة المشتركة أو الأجهزة المخصصة غير عملية من منظور التكلفة أو جاهزية الأعمال. |
قد لا يكون تعقيد الدعم ممكنا في مواقع الحقول. تختلف الأجهزة الشخصية في نظام التشغيل والتخزين والاتصال. قد لا يكون لدى بعض العمال إمكانية وصول موثوق بها إلى جهاز محمول شخصي. يمكنك تحمل مسؤولية محتملة عن الأجور إذا تمكن العمال من الوصول إلى الموارد أثناء عدم تسجيل دخولهم. قد يكون استخدام الجهاز الشخصي مخالفا لقواعد الاتحاد أو اللوائح الحكومية. |
| أجهزة Kiosk | الأجهزة مملوكة ومدارة من قبل مؤسستك. لا يحتاج المستخدمون إلى تسجيل الدخول أو الخروج. | الجهاز له غرض مخصص. لا تتطلب حالة الاستخدام مصادقة المستخدم. |
تحتاج تطبيقات التعاون والاتصال والمهمة وسير العمل إلى هوية مستخدم لتعمل. لا يمكن تدقيق نشاط المستخدم. غير قادر على استخدام بعض قدرات الأمان بما في ذلك المصادقة متعددة العوامل. |
يتم اعتماد الأجهزة المشتركة و BYOD بشكل شائع في عمليات توزيع الخطوط الأمامية. يمكنك استخدام الإمكانات التي تمت مناقشتها في الأقسام اللاحقة من هذه المقالة قد تحل أو تخفف من مخاوف مؤسستك بشأن تجربة المستخدم ووصول العامل غير المصرح به إلى البيانات والموارد والقدرة على نشر الأجهزة وإدارتها على نطاق واسع.
ملاحظة
لا يوصى بعمليات توزيع أجهزة Kiosk لأنها لا تسمح بمراجعة المستخدم وقدرات الأمان المستندة إلى المستخدم مثل المصادقة متعددة العوامل. تعرف على المزيد حول أجهزة kiosk.
الأجهزة المشتركة
يستخدم العديد من العاملين في الخطوط الأمامية الأجهزة المحمولة المشتركة للقيام بالعمل. الأجهزة المشتركة هي أجهزة مملوكة للشركة تتم مشاركتها بين الموظفين عبر المهام أو الورديات أو المواقع.
فيما يلي مثال على سيناريو نموذجي. لدى المؤسسة مجموعة من الأجهزة في مهدات الشحن التي سيتم مشاركتها عبر جميع الموظفين. في بداية الوردية، يلتقط الموظف جهازا من التجمع، ويسجل الدخول إلى Teams وتطبيقات الأعمال الأخرى الضرورية لدوره. في نهاية ورديتهم، يسجلون الخروج ويعيدون الجهاز إلى التجمع. حتى في نفس الوردية، قد يقوم العامل بإعادة جهاز عندما ينهي مهمة أو يخرج لتناول الغداء، ثم يلتقط جهازا مختلفا عندما يعود إلى العمل.
تمثل الأجهزة المشتركة تحديات أمنية فريدة. على سبيل المثال، قد يتمكن الموظفون من الوصول إلى بيانات الشركة أو العميل التي لا ينبغي أن تكون متاحة للآخرين على نفس الجهاز.
الأجهزة الشخصية (BYOD)
تستخدم بعض المؤسسات نموذج إحضار جهازك الخاص (BYOD) حيث يستخدم العاملون في الخطوط الأمامية أجهزتهم المحمولة الخاصة للوصول إلى Teams وتطبيقات الأعمال الأخرى. فيما يلي نظرة عامة على بعض الطرق لإدارة الوصول والتوافق على الأجهزة الشخصية.
نظام تشغيل الجهاز
سيحدد نموذج التوزيع الذي تحدده جزئيا أنظمة تشغيل الجهاز التي تدعمها. على سبيل المثال، إذا قمت بتنفيذ نموذج BYOD، فستحتاج إلى دعم كل من أجهزة Android وiOS. إذا قمت بتنفيذ نموذج أجهزة مشتركة، فسيحدد نظام تشغيل الجهاز الذي تختاره الإمكانات المتاحة. على سبيل المثال، تدعم أجهزة Windows في الأصل القدرة على تخزين ملفات تعريف مستخدم متعددة لتسجيل الدخول التلقائي والمصادقة السهلة مع Windows Hello. مع Android وiOS، يتم تطبيق المزيد من الخطوات والمتطلبات المسبقة.
| نظام تشغيل الجهاز | الاعتبارات |
|---|---|
| بالنسبة لنظام التشغيل | الدعم الأصلي لتخزين ملفات تعريف مستخدم متعددة على الجهاز. يدعم Windows Hello للمصادقة بدون كلمة مرور. إمكانات النشر والإدارة المبسطة عند استخدامها مع Microsoft Intune. |
| Android | قدرات أصلية محدودة لتخزين ملفات تعريف مستخدم متعددة على الأجهزة. يمكن تسجيل أجهزة Android في وضع الجهاز المشترك لأتمتة تسجيل الدخول الأحادي وتسجيل الخروج. إدارة قوية لعناصر التحكم وواجهات برمجة التطبيقات. النظام البيئي الحالي للأجهزة المصممة لاستخدام الخطوط الأمامية. |
| iOS وiPadOS | يمكن تسجيل أجهزة iOS في وضع الجهاز المشترك لأتمتة تسجيل الدخول الأحادي وتسجيل الخروج. يمكن تخزين ملفات تعريف مستخدم متعددة على أجهزة iPadOS باستخدام Shared iPad for Business. لا يتوفر الوصول المشروط مع Shared iPad for Business بسبب الطريقة التي تقسم بها Apple ملفات تعريف المستخدمين. |
في توزيع الأجهزة المشتركة، تعد القدرة على تخزين ملفات تعريف مستخدم متعددة على جهاز لتبسيط تسجيل دخول المستخدم والقدرة على مسح بيانات التطبيق من المستخدم السابق (تسجيل الخروج الأحادي) متطلبات عملية لعمليات توزيع الخطوط الأمامية. هذه الإمكانات أصلية على أجهزة Windows وأجهزة iPad باستخدام IPad المشترك للأعمال.
هوية المستخدم
يستخدم Microsoft 365 للعاملين في الخطوط الأمامية معرف Microsoft Entra كخدمة هوية أساسية لتسليم وتأمين جميع التطبيقات والموارد. يجب أن يكون لدى المستخدمين هوية موجودة في معرف Microsoft Entra للوصول إلى تطبيقات Microsoft 365 السحابية.
إذا اخترت إدارة هويات مستخدمي الخطوط الأمامية باستخدام خدمات مجال Active Directory (AD DS) أو موفر هوية تابع لجهة خارجية، فستحتاج إلى توحيد هذه الهويات Microsoft Entra المعرف. تعرف على كيفية دمج خدمة الجهات الخارجية مع معرف Microsoft Entra.
تتضمن أنماط التنفيذ المحتملة لإدارة هويات الخطوط الأمامية ما يلي:
- Microsoft Entra المستقلة: تنشئ مؤسستك هويات المستخدم والجهاز والتطبيق وتديرها في معرف Microsoft Entra كحل هوية مستقل لأحمال العمل في الخطوط الأمامية. يوصى بنمط التنفيذ هذا لأنه يبسط بنية توزيع الخطوط الأمامية ويزيد من الأداء أثناء تسجيل دخول المستخدم.
- تكامل خدمات مجال Active Directory (AD DS) مع معرف Microsoft Entra: توفر Microsoft Microsoft Entra Connect للانضمام إلى هاتين البيئتين. يقوم Microsoft Entra Connect بنسخ حسابات مستخدمي AD نسخا متماثلا إلى معرف Microsoft Entra، ما يسمح للمستخدم بالحصول على هوية واحدة قادرة على الوصول إلى كل من الموارد المحلية والمستندة إلى السحابة. على الرغم من إمكانية وجود كل من AD DS ومعرف Microsoft Entra كبيئات دليل مستقلة، يمكنك اختيار إنشاء أدلة مختلطة.
- مزامنة حل الهوية التابعة لجهة خارجية مع معرف Microsoft Entra: يدعم معرف Microsoft Entra التكامل مع موفري الهوية التابعين لجهة خارجية مثل Okta وPing Identity من خلال الاتحاد. تعرف على المزيد حول استخدام موفري الهوية التابعين لجهة خارجية.
توفير المستخدم المستند إلى الموارد البشرية
يعد أتمتة تزويد المستخدمين حاجة عملية للمؤسسات التي تريد أن يتمكن موظفو الخطوط الأمامية من الوصول إلى التطبيقات والموارد في اليوم الأول. من منظور الأمان، من المهم أيضا أتمتة إلغاء التوفير أثناء إلغاء إلحاق الموظفين للتأكد من أن الموظفين السابقين لا يحتفظون بالوصول إلى موارد الشركة.
تتكامل خدمة تزويد المستخدم Microsoft Entra مع تطبيقات الموارد البشرية المستندة إلى السحابة والتطبيقات المحلية، مثل Workday وSAP SuccessFactors. يمكنك تكوين الخدمة لأتمتة توفير المستخدم وإلغاء حق الوصول عند إنشاء موظف أو تعطيله في نظام الموارد البشرية.
فريق العمل الخاص بي
باستخدام ميزة My Staff في معرف Microsoft Entra، يمكنك تفويض مهام إدارة المستخدم الشائعة لمديري الخطوط الأمامية من خلال مدخل My Staff. يمكن لمديري الخطوط الأمامية إجراء إعادة تعيين كلمة المرور أو إدارة أرقام الهواتف للعاملين في الخطوط الأمامية مباشرة من المتجر أو أرضية المصنع، دون الحاجة إلى توجيه الطلبات إلى مكتب المساعدة أو العمليات أو تكنولوجيا المعلومات.
يمكن My Staff أيضا مديري الخطوط الأمامية من تسجيل أرقام هواتف أعضاء فريقهم لتسجيل الدخول عبر الرسائل النصية القصيرة. إذا تم تمكين المصادقة المستندة إلى الرسائل النصية القصيرة في مؤسستك، يمكن للعاملين في الخطوط الأمامية تسجيل الدخول إلى Teams والتطبيقات الأخرى باستخدام أرقام هواتفهم فقط ورمز المرور لمرة واحدة المرسلة عبر الرسائل النصية القصيرة. وهذا يجعل تسجيل الدخول للعاملين في الخطوط الأمامية بسيطا وآمنا وسريعا.
إدارة الأجهزة المحمولة
يمكن لحلول إدارة الأجهزة المحمولة (MDM) تبسيط توزيع الأجهزة وإدارتها ومراقبتها. يدعم Microsoft Intune في الأصل الميزات المهمة لنشر الأجهزة المشتركة للعاملين في الخطوط الأمامية. وتشمل هذه الإمكانات ما يلي:
- التزويد باللمس الصفري: يمكن لمسؤولي تكنولوجيا المعلومات تسجيل الأجهزة المحمولة وتكوينها مسبقا دون حضانة فعلية للأجهزة (للتكوين اليدوي). هذه الإمكانية مفيدة عند نشر الأجهزة المشتركة على نطاق واسع إلى مواقع الحقول لأنه يمكن شحن الأجهزة مباشرة إلى موقع الخط الأمامي المقصود حيث يمكن إكمال خطوات التكوين والتزويد التلقائية عن بعد.
- تسجيل الخروج الأحادي: إيقاف عمليات الخلفية وأتمتة تسجيل خروج المستخدم عبر جميع التطبيقات والموارد المعينة للمستخدم السابق عند تسجيل دخول مستخدم جديد. يجب تسجيل أجهزة Android وiOS في وضع الجهاز المشترك لاستخدام تسجيل الخروج الأحادي.
- Microsoft Entra الوصول المشروط: يمكن لمسؤولي تكنولوجيا المعلومات تنفيذ قرارات التحكم في الوصول التلقائي للتطبيقات والموارد المستندة إلى السحابة من خلال الإشارات المستندة إلى الهوية. على سبيل المثال، من الممكن منع الوصول بواسطة جهاز مشترك أو BYOD لا يحتوي على آخر تحديثات الأمان المثبتة. تعرف على المزيد حول كيفية تأمين التوزيع الخاص بك.
إذا كنت تستخدم حل MDM تابع لجهة خارجية لنشر الأجهزة المشتركة، مثل مساحة عمل VMware ONE أو SOTI MobiControl، فمن المهم فهم الإمكانات والقيود والحلول المتاحة المرتبطة.
يمكن لبعض أجهزة MDM التابعة لجهة خارجية مسح بيانات التطبيق عند حدوث تسجيل خروج عمومي على جهاز Android. ومع ذلك، يمكن أن يفوت مسح بيانات التطبيق البيانات المخزنة في موقع مشترك، أو حذف إعدادات التطبيق، أو التسبب في ظهور تجارب التشغيل الأول مرة أخرى. يمكن لأجهزة Android المسجلة في وضع الجهاز المشترك مسح بيانات التطبيق الضرورية بشكل انتقائي أثناء تسجيل دخول الجهاز أو عند تسجيل دخول المستخدم الجديد إلى الجهاز. تعرف على المزيد حول المصادقة في وضع الجهاز المشترك.
يمكنك تكوين وضع الجهاز المشترك يدويا في حلول MDM التابعة لجهة خارجية لأجهزة iOS وAndroid، ومع ذلك، لا تضع خطوات التكوين اليدوي علامة على الجهاز المتوافق في معرف Microsoft Entra، ما يعني أن الوصول المشروط غير مدعوم في هذا السيناريو. إذا اخترت تكوين الأجهزة يدويا في وضع الجهاز المشترك، فستحتاج إلى اتخاذ خطوات إضافية لإعادة تسجيل أجهزة Android في وضع الجهاز المشترك مع توفير بدون لمس للحصول على دعم الوصول المشروط عند توفر دعم MDM لجهة خارجية عن طريق إلغاء تثبيت Authenticator وإعادة تثبيته من الجهاز.
يمكن تسجيل الجهاز في حل MDM واحد فقط، ولكن يمكنك استخدام حلول MDM متعددة لإدارة مجموعات منفصلة من الأجهزة. على سبيل المثال، يمكنك استخدام مساحة العمل ONE للأجهزة المشتركة وIntune ل BYOD. إذا كنت تستخدم حلول MDM متعددة، فضع في اعتبارك أن بعض المستخدمين قد لا يتمكنوا من الوصول إلى الأجهزة المشتركة بسبب عدم التطابق في نهج الوصول المشروط.
| حل MDM | تسجيل الخروج الأحادي | توفير لمسة معدومة | الوصول المشروط Microsoft Entra |
|---|---|---|---|
| Intune (Microsoft) | مدعوم لأجهزة Android وiOS المسجلة في وضع الجهاز المشترك | مدعوم لأجهزة Android وiOS المسجلة في وضع الجهاز المشترك | مدعوم لأجهزة Android وiOS المسجلة في وضع الجهاز المشترك |
| مساحة العمل ONE (VMware) | مدعوم بإمكانيات بيانات تطبيق Clear Android . غير متوفر لنظام التشغيل iOS | غير متوفر حاليا لنظامي التشغيل Android وiOS. | غير متوفر حاليا لنظامي التشغيل Android وiOS. |
| MobiControl (SOTI) | مدعوم مع إمكانات بيانات برنامج المسح . غير متوفر لنظام التشغيل iOS. | غير متوفر حاليا لنظامي التشغيل Android وiOS. | غير متوفر حاليا لنظامي التشغيل Android وiOS. |
تدعم أجهزة Windows المسجلة في Intune تسجيل الخروج الأحادي وتوفير بدون لمس Microsoft Entra الوصول المشروط. لا تحتاج إلى تكوين وضع الجهاز المشترك على أجهزة Windows.
يوصى باستخدام Intune لسيناريوهات BYOD لأنه يوفر أفضل دعم ووظائف خارج الصندوق عبر أنواع الأجهزة.
تسجيل أجهزة Android وiOS الشخصية
بالإضافة إلى الأجهزة المملوكة للشركة، يمكنك تسجيل الأجهزة المملوكة للمستخدمين شخصيا في الإدارة في Intune. لتسجيل BYOD، يمكنك إضافة مستخدمي الجهاز في مركز إدارة Microsoft Intune، وتكوين تجربة التسجيل الخاصة بهم، وإعداد نهج Intune. يكمل المستخدمون التسجيل بأنفسهم في تطبيق Intune Company Portal المثبت على أجهزتهم.
في بعض الحالات، قد يحجم المستخدمون عن تسجيل أجهزتهم الشخصية في الإدارة. إذا لم يكن تسجيل الجهاز خيارا، يمكنك اختيار نهج إدارة تطبيقات المحمول (MAM) واستخدام نهج حماية التطبيقات لإدارة التطبيقات التي تحتوي على بيانات الشركة. على سبيل المثال، يمكنك تطبيق نهج حماية التطبيقات على Teams وتطبيقات Office للأجهزة المحمولة لمنع نسخ بيانات الشركة إلى التطبيقات الشخصية على الجهاز.
لمعرفة المزيد، راجع "الأجهزة الشخصية مقابل الأجهزة المملوكة للمؤسسة" في دليل تخطيط Intuneوإرشادات التوزيع: تسجيل الأجهزة في Microsoft Intune.
المصادقة
تتحكم ميزات المصادقة في من يستخدم حسابا أو ما يستخدمه للوصول إلى التطبيقات والبيانات والموارد. تحتاج المؤسسات التي تقوم بنشر الأجهزة المشتركة إلى العاملين في الخطوط الأمامية إلى عناصر تحكم المصادقة التي لا تعيق إنتاجية العامل مع منع الوصول غير المصرح به أو غير المقصود إلى التطبيقات والبيانات عند نقل الأجهزة بين المستخدمين المصادق عليهم.
يتم تسليم حل الخط الأمامي من Microsoft من السحابة ويستخدم معرف Microsoft Entra كخدمة هوية أساسية لتأمين تطبيقات وموارد Microsoft 365. تعالج ميزات المصادقة هذه في معرف Microsoft Entra الاعتبارات الفريدة لعمليات نشر الأجهزة المشتركة: تسجيل الدخول الأحادي التلقائي وتسجيل الخروج الأحادي وأساليب المصادقة القوية الأخرى.
وضع الجهاز المشترك
يعد وضع الجهاز المشترك ميزة من ميزات معرف Microsoft Entra تمكنك من تكوين الأجهزة التي ستتم مشاركتها من قبل الموظفين. تمكن هذه الميزة تسجيل الدخول الأحادي (SSO) وتسجيل الخروج على مستوى الجهاز ل Microsoft Teams وجميع التطبيقات الأخرى التي تدعم وضع الجهاز المشترك. يمكنك دمج هذه الإمكانية في تطبيقات خط العمل (LOB) باستخدام مكتبة مصادقة Microsoft (MSAL). بمجرد أن يكون الجهاز في وضع الجهاز المشترك، يمكن للتطبيقات التي تستفيد من مكتبة مصادقة Microsoft (MSAL) اكتشاف أنها تعمل على جهاز مشترك وتحديد من هو المستخدم النشط الحالي. باستخدام هذه المعلومات، يمكن للتطبيقات إنجاز عناصر التحكم في المصادقة هذه:
- تسجيل الدخول الأحادي التلقائي: إذا قام مستخدم بتسجيل الدخول بالفعل إلى تطبيق MSAL آخر، فسيتم تسجيل دخول المستخدم إلى أي تطبيق متوافق مع وضع الجهاز المشترك. يعد هذا تحسينا لتجربة تسجيل الدخول الأحادي السابقة لأنه يقلل من الوقت الذي يستغرقه الوصول إلى التطبيقات بعد تسجيل الدخول إلى التطبيق الأول عن طريق إزالة حاجة المستخدم إلى تحديد حساب تم تسجيل الدخول مسبقا.
- تسجيل الخروج الأحادي: بمجرد قيام المستخدم بتسجيل الخروج من تطبيق باستخدام MSAL، يمكن لجميع التطبيقات الأخرى المدمجة مع وضع الجهاز المشترك إيقاف عمليات الخلفية والبدء في تسجيل الخروج من عمليات مسح البيانات لمنع الوصول غير المصرح به أو غير المقصود من قبل المستخدم التالي.
فيما يلي كيفية عمل وضع الجهاز المشترك، باستخدام Teams كمثال. عندما يقوم موظف بتسجيل الدخول إلى Teams في بداية الوردية، يتم تسجيل دخوله تلقائيا إلى جميع التطبيقات الأخرى التي تدعم وضع الجهاز المشترك على الجهاز. في نهاية الوردية، عند تسجيل الخروج من Teams، يتم تسجيل خروجهم عالميا من جميع التطبيقات الأخرى التي تدعم وضع الجهاز المشترك. بعد تسجيل الخروج، لم يعد من الممكن الوصول إلى بيانات الموظف وبيانات الشركة في Teams (بما في ذلك التطبيقات المستضافة داخله) وفي جميع التطبيقات الأخرى التي تدعم وضع الجهاز المشترك. الجهاز جاهز للموظف التالي ويمكن تسليمه بأمان.
يعد وضع الجهاز المشترك تحسينا لوظيفة مسح بيانات التطبيق لنظام Android لأنه يسمح لمطوري التطبيقات بمسح بيانات المستخدم الشخصية بشكل انتقائي دون التأثير على إعدادات التطبيق أو البيانات المخزنة مؤقتا. باستخدام وضع الجهاز المشترك، لا يتم حذف العلامات التي تسمح للتطبيق بتذكر ما إذا كانت تجربة التشغيل الأولى معروضة حتى لا يرى المستخدمون تجربة تشغيل أولى في كل مرة يقومون فيها بتسجيل الدخول.
يسمح وضع الجهاز المشترك أيضا بتسجيل الجهاز في معرف Microsoft Entra مرة واحدة لجميع المستخدمين بحيث يمكنك بسهولة إنشاء ملفات تعريف تؤمن استخدام التطبيقات والبيانات على الجهاز المشترك. يسمح لك هذا بدعم الوصول المشروط دون الحاجة إلى إعادة تسجيل الجهاز في كل مرة يصادق فيها مستخدم جديد على الجهاز.
يمكنك استخدام حل إدارة الأجهزة المحمولة (MDM) مثل Microsoft Intune أو Microsoft Configuration Manager لإعداد جهاز ليتم مشاركته عن طريق تثبيت تطبيق Microsoft Authenticator وتشغيل الوضع المشترك. تستخدم Teams وجميع التطبيقات الأخرى التي تدعم وضع الجهاز المشترك إعداد الوضع المشترك لإدارة المستخدمين على الجهاز. يجب أن يقوم حل MDM الذي تستخدمه أيضا بتنظيف الجهاز عند حدوث تسجيل الخروج.
ملاحظة
وضع الجهاز المشترك ليس حلا كاملا لمنع فقدان البيانات. يجب استخدام وضع الجهاز المشترك بالاقتران مع نهج Microsoft Application Manager (MAM) لضمان عدم تسرب البيانات إلى مناطق الجهاز التي لا تستفيد من وضع الجهاز المشترك (على سبيل المثال، تخزين الملفات المحلي).
المتطلبات الأساسية والاعتبارات
ستحتاج إلى تلبية المتطلبات الأساسية التالية لاستخدام وضع الجهاز المشترك.
- يجب أن يكون الجهاز مثبتا عليه Microsoft Authenticator أولا.
- يجب تسجيل الجهاز في وضع الجهاز المشترك.
- تحتاج جميع التطبيقات التي تحتاج إلى هذه الفوائد إلى التكامل مع واجهات برمجة التطبيقات لوضع الجهاز المشترك في MSAL.
نهج MAM مطلوبة لمنع نقل البيانات من التطبيقات الممكنة لوضع الجهاز المشترك إلى التطبيقات الممكنة لوضع الجهاز غير المشترك.
حاليا، لا يتوفر التوفير باللمس الصفري لوضع الجهاز المشترك إلا مع Intune. إذا كنت تستخدم حل MDM تابع لجهة خارجية، فيجب تسجيل الأجهزة في وضع الجهاز المشترك باستخدام خطوات التكوين اليدوي.
ملاحظة
الوصول المشروط غير مدعوم بالكامل للأجهزة التي تم تكوينها يدويا.
لا تدعم بعض تطبيقات Microsoft 365 حاليا وضع الجهاز المشترك. يلخص الجدول أدناه ما هو متوفر. إذا كان التطبيق الذي تحتاجه يفتقر إلى تكامل وضع الجهاز المشترك، فمن المستحسن تشغيل إصدار مستند إلى الويب من تطبيقك في Microsoft Teams أو Microsoft Edge للحصول على فوائد وضع الجهاز المشترك.
وضع الجهاز المشترك مدعوم حاليا على أجهزة Android. إليك بعض الموارد لمساعدتك على البدء.
تسجيل أجهزة Android في وضع الجهاز المشترك
لإدارة أجهزة Android وتسجيلها في وضع الجهاز المشترك باستخدام Intune، يجب أن تعمل الأجهزة بنظام التشغيل Android الإصدار 8.0 أو أحدث، وأن يكون لديها اتصال خدمات Google Mobile Services (GMS). للتعرّف على المزيد، اطلع على:
- إعداد تسجيل Intune للأجهزة المخصصة ل Android Enterprise
- تسجيل الأجهزة المخصصة ل Android Enterprise في وضع الجهاز المشترك Microsoft Entra
يمكنك أيضا اختيار توزيع تطبيق Microsoft Managed Home Screen لتخصيص التجربة للمستخدمين على أجهزة Android المخصصة المسجلة في Intune. تعمل الشاشة الرئيسية المدارة كمشغل للتطبيقات المعتمدة الأخرى للتشغيل فوقها، وتتيح لك تخصيص الأجهزة وتقييد ما يمكن للموظفين الوصول إليه. على سبيل المثال، يمكنك تحديد كيفية ظهور التطبيقات على الشاشة الرئيسية، وإضافة شعار شركتك، وتعيين خلفية الشاشة المخصصة، والسماح للموظفين بتعيين رمز PIN لجلسة العمل. يمكنك حتى تكوين تسجيل الخروج ليحدث تلقائيا بعد فترة محددة من عدم النشاط. للتعرّف على المزيد، اطلع على:
- تكوين تطبيق الشاشة الرئيسية المدارة من Microsoft ل Android Enterprise
- كيفية إعداد Microsoft Managed Home Screen على الأجهزة المخصصة في وضع kiosk متعدد التطبيقات
للمطورين الذين ينشئون تطبيقات لوضع الجهاز المشترك
إذا كنت مطورا، فراجع الموارد التالية للحصول على مزيد من المعلومات حول كيفية دمج تطبيقك مع وضع الجهاز المشترك:
مصادقة متعددة العوامل
يدعم Microsoft Entra ID عدة أشكال من المصادقة متعددة العوامل باستخدام تطبيق Authenticator ومفاتيح FIDO2 والرسائل النصية القصيرة والمكالمات الصوتية والمزيد.
نظرا لارتفاع التكلفة والقيود القانونية، قد لا تكون طرق المصادقة الأكثر أمانا عملية للعديد من المؤسسات. على سبيل المثال، عادة ما تعتبر مفاتيح أمان FIDO2 مكلفة للغاية، وقد تعمل أدوات القياسات الحيوية مثل Windows Hello وفقا للوائح الحالية أو قواعد الاتحاد، وقد لا يكون تسجيل الدخول عبر الرسائل القصيرة ممكنا إذا لم يسمح للعاملين في الخطوط الأمامية بإحضار أجهزتهم الشخصية للعمل.
توفر المصادقة متعددة العوامل مستوى عاليا من الأمان للتطبيقات والبيانات ولكنها تضيف احتكاكا مستمرا إلى تسجيل دخول المستخدم. بالنسبة للمؤسسات التي تختار عمليات نشر BYOD، قد تكون المصادقة متعددة العوامل خيارا عمليا أو لا تكون. يوصى بشدة بأن تتحقق فرق الأعمال والتقنية من صحة تجربة المستخدم مع المصادقة متعددة العوامل قبل الإطلاق الواسع بحيث يمكن النظر في تأثير المستخدم بشكل صحيح في جهود إدارة التغيير والاستعداد.
إذا لم تكن المصادقة متعددة العوامل ممكنة لمؤسستك أو نموذج التوزيع، فيجب عليك التخطيط للاستفادة من نهج الوصول المشروط القوية لتقليل مخاطر الأمان.
مصادقة بدون كلمة مرور
لتبسيط الوصول إلى القوى العاملة في الخطوط الأمامية، يمكنك الاستفادة من أساليب المصادقة بدون كلمة مرور بحيث لا يحتاج العمال إلى تذكر كلمات المرور الخاصة بهم أو كتابتها. عادة ما تكون طرق المصادقة بدون كلمة مرور أكثر أمانا، ويمكن للعديد منها تلبية متطلبات المصادقة متعددة العوامل إذا لزم الأمر.
قبل المتابعة باستخدام أسلوب مصادقة بدون كلمة مرور، ستحتاج إلى تحديد ما إذا كان يمكن أن يعمل في بيئتك الحالية. يمكن أن تؤثر اعتبارات مثل التكلفة ودعم نظام التشغيل ومتطلبات الجهاز الشخصي ودعم المصادقة متعددة العوامل على ما إذا كانت طريقة المصادقة ستعمل مع احتياجاتك. على سبيل المثال، تعتبر مفاتيح أمان FIDO2 مكلفة للغاية حاليا، وقد لا يكون تسجيل دخول SMS و Authenticator ممكنا إذا لم يسمح للعاملين في الخطوط الأمامية بإحضار أجهزتهم الشخصية للعمل.
راجع الجدول لتقييم أساليب المصادقة بدون كلمة مرور لسيناريو الخط الأمامي.
| الاسلوب | دعم نظام التشغيل | يتطلب جهازا شخصيا | يدعم المصادقة متعددة العوامل |
|---|---|---|---|
| تسجيل الدخول عبر SMS | Android وiOS | نعم | لا |
| Windows Hello | بالنسبة لنظام التشغيل | لا | نعم |
| Microsoft Authenticator | الكل | نعم | نعم |
| مفتاح FIDO2 | بالنسبة لنظام التشغيل | لا | نعم |
إذا كنت تقوم بالتوزيع باستخدام الأجهزة المشتركة ولم تكن الخيارات السابقة بدون كلمة مرور ممكنة، يمكنك اختيار تعطيل متطلبات كلمة المرور القوية بحيث يمكن للمستخدمين توفير كلمات مرور أبسط أثناء تسجيل الدخول إلى الأجهزة المدارة. إذا اخترت تعطيل متطلبات كلمة المرور القوية، يجب أن تفكر في إضافة هذه الاستراتيجيات إلى خطة التنفيذ الخاصة بك.
- قم فقط بتعطيل متطلبات كلمة المرور القوية لمستخدمي الأجهزة المشتركة.
- إنشاء نهج وصول مشروط يمنع هؤلاء المستخدمين من تسجيل الدخول إلى الأجهزة غير المشتركة على الشبكات غير الموثوق بها.
التخويل
تتحكم ميزات التخويل في ما يمكن للمستخدم المصادق عليه القيام به أو الوصول إليه. في Microsoft 365، يتم تحقيق ذلك من خلال مجموعة من نهج الوصول المشروط Microsoft Entra ونهج حماية التطبيق.
يعد تنفيذ عناصر التحكم القوية في التخويل مكونا مهما لتأمين توزيع الأجهزة المشتركة للخطوط الأمامية، خاصة إذا لم يكن من الممكن تنفيذ أساليب مصادقة قوية مثل المصادقة متعددة العوامل (MFA) لأسباب تتعلق بالتكلفة أو العملية.
الوصول المشروط Microsoft Entra
باستخدام الوصول المشروط، يمكنك إنشاء قواعد تحد من الوصول استنادا إلى الإشارات التالية:
- عضوية المستخدم أو المجموعة
- معلومات موقع IP
- الجهاز (متوفر فقط إذا كان الجهاز مسجلا في معرف Microsoft Entra)
- Application
- الكشف عن المخاطر في الوقت الحقيقي والمحسوب
يمكن استخدام نهج الوصول المشروط لحظر الوصول عندما يكون المستخدم على جهاز غير متوافق أو أثناء وجوده على شبكة غير موثوق بها. على سبيل المثال، قد ترغب في استخدام الوصول المشروط لمنع المستخدمين من الوصول إلى تطبيق مخزون عندما لا يكونوا على شبكة العمل أو يستخدمون جهازا غير مدار، اعتمادا على تحليل مؤسستك للقوانين المعمول بها.
بالنسبة لسيناريوهات BYOD حيث يكون من المنطقي الوصول إلى البيانات خارج العمل، مثل المعلومات المتعلقة بالموارد البشرية أو التطبيقات غير المتعلقة بالأعمال، يمكنك اختيار تنفيذ نهج وصول مشروط أكثر تساهلا إلى جانب أساليب مصادقة قوية مثل المصادقة متعددة العوامل.
يتم دعم الوصول المشروط من أجل:
- أجهزة Windows المشتركة المدارة في Intune.
- أجهزة Android وiOS المشتركة المسجلة في وضع الجهاز المشترك مع توفير بدون لمس.
- تتم إدارة BYOD لنظام التشغيل Windows وAndroid وiOS باستخدام حلول Intune أو MDM التابعة لجهة خارجية.
الوصول المشروط غير مدعوم ل:
- الأجهزة التي تم تكوينها يدويا باستخدام وضع الجهاز المشترك، بما في ذلك أجهزة Android وiOS المدارة باستخدام حلول MDM التابعة لجهة خارجية.
- أجهزة iPad التي تستخدم Shared iPad للأعمال.
ملاحظة
سيتوفر قريبا الوصول المشروط لأجهزة Android المدارة باستخدام حلول MDM محددة تابعة لجهة خارجية.
لمزيد من المعلومات حول الوصول المشروط، راجع وثائق الوصول المشروط Microsoft Entra.
نهج حماية التطبيقات
باستخدام MAM من Intune، يمكنك استخدام نهج حماية التطبيقات (APP) مع التطبيقات التي تم دمجها مع App SDK من Intune. يسمح لك هذا بحماية بيانات مؤسستك بشكل أكبر داخل أحد التطبيقات.
باستخدام نهج حماية التطبيقات، يمكنك إضافة ضمانات التحكم في الوصول، مثل:
- طلب رمز PIN لفتح تطبيق في سياق عمل.
- التحكم في مشاركة البيانات بين التطبيقات
- منع حفظ بيانات تطبيق الشركة في موقع تخزين شخصي
- تأكد من تحديث نظام تشغيل الجهاز
يمكنك أيضا استخدام APPs للتأكد من عدم تسرب البيانات إلى التطبيقات التي لا تدعم وضع الجهاز المشترك. لمنع فقدان البيانات، يجب تمكين واجهات برمجة التطبيقات التالية على الأجهزة المشتركة:
- تعطيل النسخ/اللصق إلى التطبيقات الممكنة لوضع الجهاز غير المشترك.
- تعطيل حفظ الملفات المحلية.
- تعطيل قدرات نقل البيانات إلى التطبيقات الممكنة لوضع الجهاز غير المشترك.
تعد واجهات برمجة التطبيقات مفيدة في سيناريوهات BYOD لأنها تسمح لك بحماية بياناتك على مستوى التطبيق دون الحاجة إلى إدارة الجهاز بأكمله. هذا مهم في السيناريوهات التي قد يكون فيها للموظفين جهاز يديره مستأجر آخر (على سبيل المثال، جامعة أو صاحب عمل آخر) ولا يمكن إدارته بواسطة شركة أخرى.
إدارة التطبيقات
يجب أن تتضمن خطة التوزيع الخاصة بك مخزونا وتقييما للتطبيقات التي سيحتاجها العاملون في الخطوط الأمامية للقيام بمهامهم. يغطي هذا القسم الاعتبارات والخطوات الضرورية لضمان وصول المستخدمين إلى التطبيقات المطلوبة وتحسين التجربة في سياق تنفيذ الخط الأمامي.
لأغراض هذا التقييم، يتم تصنيف التطبيقات في ثلاث مجموعات:
- تم إنشاء تطبيقات Microsoft ودعمها من قبل Microsoft. تدعم تطبيقات Microsoft معرف Microsoft Entra وتتكامل مع SDK لتطبيق Intune. ومع ذلك، لا يتم دعم جميع تطبيقات Microsoft مع وضع الجهاز المشترك. [راجع قائمة بالتطبيقات المدعومة والتوافر.] (إشارة مرجعية للمصادقة)
- يتم بناء تطبيقات الجهات الخارجية وبيعها تجاريا من قبل موفر تابع لجهة خارجية. لا تدعم بعض التطبيقات معرف Microsoft Entra أو SDK لتطبيق Intune أو وضع الجهاز المشترك. تعاون مع موفر التطبيق وفريق حساب Microsoft لتأكيد ما ستكون عليه تجربة المستخدم.
- يتم تطوير تطبيقات خط الأعمال المخصصة من قبل مؤسستك لتلبية احتياجات الأعمال الداخلية. إذا قمت بإنشاء تطبيقات باستخدام Power Apps، فسيتم تمكين تطبيقك تلقائيا باستخدام معرف Microsoft Entra وIntune ووضع الجهاز المشترك.
تفي التطبيقات التي يصل إليها مستخدمو الخطوط الأمامية بهذه المتطلبات (حسب الاقتضاء) لتمكين تسجيل الخروج الفردي والفردي العمومي.
- دمج التطبيقات المخصصة والجهات الخارجية مع MSAL: يمكن للمستخدمين المصادقة في تطبيقاتك باستخدام معرف Microsoft Entra وتمكين تسجيل الدخول الأحادي ويمكن تطبيق نهج الوصول المشروط.
- دمج التطبيقات مع وضع الجهاز المشترك (ينطبق فقط على الأجهزة المشتركة التي تعمل بنظام التشغيل Android أو iOS): يمكن للتطبيقات استخدام واجهات برمجة تطبيقات وضع الجهاز المشترك الضرورية في MSAL لتنفيذ تسجيل الدخول الأحادي التلقائي وتسجيل الخروج الأحادي. يسمح لك استخدام واجهات برمجة التطبيقات هذه بشكل مناسب بالتكامل مع وضع الجهاز المشترك. هذا ليس ضروريا إذا كنت تقوم بتشغيل تطبيقك في Teams أو Microsoft Edge أو PowerApps.
- التكامل مع SDK لتطبيق Intune (ينطبق فقط على الأجهزة المشتركة التي تعمل بنظام التشغيل Android أو iOS): يمكن إدارة التطبيقات في Intune لمنع التعرض غير المقصود أو غير المصرح به للبيانات. هذا ليس ضروريا إذا قام MDM بإجراء مسح لبيانات التطبيق التي تمسح أي بيانات حساسة أثناء تدفقات تسجيل دخول الجهاز (تسجيل الخروج الأحادي).
بمجرد التحقق من صحة تطبيقاتك بنجاح، يمكنك توزيعها على الأجهزة المدارة باستخدام حل MDM الخاص بك. يسمح لك هذا بال تثبيت جميع التطبيقات الضرورية مسبقا أثناء تسجيل الجهاز بحيث يكون لدى المستخدمين كل ما يحتاجون إليه في اليوم الأول.
مشغلات التطبيقات لأجهزة Android
على أجهزة Android، أفضل طريقة لتوفير تجربة مركزة بمجرد فتح موظف لجهاز هي توفير شاشة تشغيل مخصصة. باستخدام شاشة تشغيل مخصصة، يمكنك فقط عرض التطبيقات ذات الصلة التي يحتاج الموظف إلى استخدامها وعناصر واجهة المستخدم التي تبرز المعلومات الرئيسية.
توفر معظم حلول MDM مشغل التطبيق الخاص بها الذي يمكن استخدامه. على سبيل المثال، توفر Microsoft شاشة الصفحة الرئيسية المدارة. إذا كنت ترغب في إنشاء مشغل تطبيق مخصص خاص بك للأجهزة المشتركة، فستحتاج إلى دمجه مع وضع الجهاز المشترك بحيث يعمل تسجيل الدخول الأحادي وتسجيل الخروج الأحادي على أجهزتك. يسلط الجدول التالي الضوء على بعض مشغلات التطبيقات الأكثر شيوعا المتوفرة اليوم من قبل Microsoft ومطوري الجهات الخارجية.
| مشغل التطبيق | قدرات |
|---|---|
| الشاشة الرئيسية المدارة | استخدم "الشاشة الرئيسية المدارة" عندما تريد أن يتمكن المستخدمون النهائيون من الوصول إلى مجموعة معينة من التطبيقات على أجهزتك المخصصة المسجلة في Intune. نظرا لأنه يمكن تشغيل "الشاشة الرئيسية المدارة" تلقائيا كشاشة الصفحة الرئيسية الافتراضية على الجهاز وتظهر للمستخدم النهائي كشاشة الصفحة الرئيسية الوحيدة، فهي مفيدة في سيناريوهات الأجهزة المشتركة عند الحاجة إلى تجربة مؤمنة. |
| Microsoft Launcher | يتيح Microsoft Launcher للمستخدمين تخصيص هواتفهم، والبقاء منظمين أثناء التنقل، ونقل العمل من هواتفهم إلى جهاز الكمبيوتر الخاص بهم. يختلف Microsoft Launcher عن "الشاشة الرئيسية المدارة" لأنه يسمح للمستخدم بالوصول إلى الشاشة الرئيسية القياسية الخاصة به. لذلك فإن Microsoft Launcher مفيد في سيناريوهات BYOD. |
| مشغل ONE لمساحة عمل VMware | بالنسبة للعملاء الذين يستخدمون VMware، فإن Workspace ONE Launcher هو أفضل أداة لتكوين مجموعة من التطبيقات التي تحتاج القوى العاملة في الخطوط الأمامية إلى الوصول إليها. خيار تسجيل الخروج من مشغل هذا هو أيضا ما يمكن Android App Data Clear لتسجيل الخروج الأحادي على أجهزة VMware. لا يدعم VMware Workspace ONE Launcher حاليا وضع الجهاز المشترك. |
| مشغل تطبيق مخصص | إذا كنت تريد تجربة مخصصة بالكامل، يمكنك إنشاء مشغل تطبيق مخصص خاص بك. يمكنك دمج مشغلك مع وضع الجهاز المشترك بحيث يحتاج المستخدمون إلى تسجيل الدخول والخروج مرة واحدة فقط. |
المقالات ذات الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ