Verwalten von Geräten für Mitarbeiter in Service und Produktion
In allen Branchen machen Frontline-Mitarbeiter einen großen Teil der Belegschaft aus. Zu den Rollen von Frontline-Mitarbeitern gehören Einzelhandelsmitarbeiter, Fabrikarbeiter, Außendienst- und Servicetechniker, medizinisches Personal und viele mehr.
Übersicht
Da die Belegschaft größtenteils mobil ist und oft im Schichtbetrieb arbeitet, ist die Verwaltung der Geräte, die von Frontline-Mitarbeitern verwendet werden, eine wichtige Grundlage. Einige Fragen zum Nachdenken:
- Verwenden Mitarbeiter unternehmenseigene Geräte oder ihre eigenen privaten Geräte?
- Werden unternehmenseigene Geräte von Mitarbeitern gemeinsam genutzt oder einer Einzelperson zugewiesen?
- Nehmen Mitarbeiter Geräte mit nach Hause oder lassen sie am Arbeitsplatz?
Es ist wichtig, eine sichere, konforme Baseline für die Verwaltung von Geräten für Ihre Mitarbeiter festzulegen, unabhängig davon, ob es sich um gemeinsam genutzte Geräte oder die eigenen Geräte der Mitarbeiter handelt. Dieser Artikel gibt Ihnen einen Überblick über gängige Geräteszenarien und Verwaltungsfunktionen für Frontline-Mitarbeiter, mit denen Sie Ihre Mitarbeiter stärken und gleichzeitig Unternehmensdaten schützen können.
Gerätetypen
Freigegebene Geräte, Bring-Your-Own- und Kioskgeräte sind die am häufigsten von Mitarbeitern in Service und Produktion verwendeten Gerätetypen.
| Gerätetyp | Beschreibung | Gründe für die Verwendung | Bereitstellungsüberlegungen |
|---|---|---|---|
| Freigegebene Geräte | Geräte gehören Ihrem organization und werden von ihnen verwaltet. Mitarbeiter greifen während der Arbeit auf Geräte zu. | Mitarbeiterproduktivität und Kundenerfahrung haben oberste Priorität. Worker können nicht auf organization Ressourcen zugreifen, während sie nicht bei der Arbeit sind. Lokale Gesetze können verhindern, dass persönliche Geräte für geschäftliche Zwecke verwendet werden. |
Das An-/Abmelden kann die Arbeitserfahrung beeinträchtigen. Potenzielle unbeabsichtigte Freigabe vertraulicher Daten. |
| Bring-Your-Own-Devices (BYOD) | Persönliche Geräte befinden sich im Besitz des Benutzers und werden von Ihrem organization verwaltet. | Ihre vorhandene MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) verhindert, dass Ihr organization ein modell für gemeinsam genutzte Geräte übernimmt. Freigegebene Geräte oder dedizierte Geräte können aus Kosten- oder Geschäftsbereitschaftsperspektive unpraktisch sein. |
Die Komplexität der Unterstützung ist in Feldstandorten möglicherweise nicht möglich. Persönliche Geräte variieren in Betriebssystem, Speicher und Konnektivität. Einige Mitarbeiter haben möglicherweise keinen zuverlässigen Zugriff auf ein persönliches mobiles Gerät. Sie könnten eine potenzielle Haftung für Löhne verursachen, wenn Mitarbeiter auf Ressourcen zugreifen, während sie nicht eingetaktet sind. Die Verwendung persönlicher Geräte kann gegen Gewerkschafts- oder Regierungsvorschriften verstoßen. |
| Kioskgeräte | Geräte gehören Ihrem organization und werden von ihnen verwaltet. Benutzer müssen sich nicht an- oder abmelden. | Das Gerät hat einen dedizierten Zweck. Der Anwendungsfall erfordert keine Benutzerauthentifizierung. |
Zusammenarbeits-, Kommunikations-, Aufgaben- und Workflowanwendungen benötigen eine Benutzeridentität, um zu funktionieren. Die Benutzeraktivität kann nicht überwacht werden. Einige Sicherheitsfunktionen, einschließlich der mehrstufigen Authentifizierung, können nicht verwendet werden. |
Freigegebene Geräte und BYOD werden häufig in Frontline-Bereitstellungen verwendet. Sie können die in den nachfolgenden Abschnitten dieses Artikels beschriebenen Funktionen verwenden, um die Bedenken Ihrer organization in Bezug auf benutzerfreundlichkeit, nicht autorisierten Workerzugriff auf Daten und Ressourcen sowie die Möglichkeit, Geräte im großen Stil bereitzustellen und zu verwalten, aufzulösen oder zu entschärfen.
Hinweis
Kioskgerätebereitstellungen werden nicht empfohlen, da sie keine Benutzerüberwachung und benutzerbasierte Sicherheitsfunktionen wie die mehrstufige Authentifizierung zulassen. Erfahren Sie mehr über Kioskgeräte.
Freigegebene Geräte
Viele Frontline-Mitarbeiter verwenden gemeinsam genutzte mobile Geräte, um ihre Arbeit zu erledigen. Gemeinsam genutzte Geräte sind unternehmenseigene Geräte, die von Mitarbeitern über Aufgaben, Schichten oder Standorte hinweg gemeinsam genutzt werden.
Hier ist ein Beispiel für ein typisches Szenario. Eine Organisation verfügt über einen Pool von Geräten in Ladeschalen, die von allen Mitarbeitern gemeinsam genutzt werden. Zu Beginn einer Schicht nimmt ein Mitarbeiter ein Gerät aus dem Pool und meldet sich bei Teams und anderen für seine Rolle wesentlichen Geschäftsanwendungen an. Am Ende ihrer Schicht melden sie sich ab und bringen das Gerät zurück in den Pool. Sogar innerhalb derselben Schicht kann ein Mitarbeiter ein Gerät zurückgeben, wenn er eine Aufgabe beendet oder zum Mittagessen ausstempelt, und dann ein anderes abholen, wenn er wieder einstempelt.
Gemeinsam genutzte Geräte stellen einzigartige Sicherheitsherausforderungen dar. Beispielsweise haben Mitarbeiter möglicherweise Zugriff auf Unternehmens- oder Kundendaten, die anderen nicht auf demselben Gerät zur Verfügung stehen sollten.
Persönliche Geräte (BYOD)
Einige Organisationen verwenden ein Bring-Your-Own-Device (BYOD)-Modell, bei dem Frontline-Mitarbeiter ihre eigenen Mobilgeräte verwenden, um auf Teams und andere Unternehmens-Apps zuzugreifen. Hier finden Sie eine Übersicht über einige Möglichkeiten zum Verwalten des Zugriffs und der Compliance auf persönlichen Geräten.
Gerätebetriebssystem
Das von Ihnen ausgewählte Bereitstellungsmodell bestimmt teilweise die unterstützten Gerätebetriebssysteme. Wenn Sie beispielsweise ein BYOD-Modell implementieren, müssen Sie sowohl Android- als auch iOS-Geräte unterstützen. Wenn Sie ein Modell für gemeinsam genutzte Geräte implementieren, bestimmt das ausgewählte Gerätebetriebssystem die verfügbaren Funktionen. Windows-Geräte unterstützen beispielsweise nativ die Möglichkeit, mehrere Benutzerprofile für automatisierte Anmeldung und einfache Authentifizierung mit Windows Hello zu speichern. Bei Android und iOS gelten weitere Schritte und Voraussetzungen.
| Gerätebetriebssystem | Überlegungen |
|---|---|
| Windows | Native Unterstützung für das Speichern mehrerer Benutzerprofile auf dem Gerät. Unterstützt Windows Hello für die kennwortlose Authentifizierung. Vereinfachte Bereitstellungs- und Verwaltungsfunktionen bei Verwendung mit Microsoft Intune. |
| Android | Eingeschränkte native Funktionen zum Speichern mehrerer Benutzerprofile auf Geräten. Android-Geräte können im Modus für gemeinsam genutzte Geräte registriert werden, um einmaliges Anmelden und Abmelden zu automatisieren. Robuste Verwaltung von Steuerelementen und APIs. Vorhandenes Ökosystem von Geräten, die für den Einsatz in Service und Produktion entwickelt wurden. |
| iOS und iPadOS | iOS-Geräte können im Modus für gemeinsam genutzte Geräte registriert werden, um einmaliges Anmelden und Abmelden zu automatisieren. Das Speichern mehrerer Benutzerprofile auf iPadOS-Geräten ist mit Shared iPad for Business möglich. Bedingter Zugriff ist für shared iPad for Business aufgrund der Art und Weise, wie Apple Benutzerprofile partitioniert, nicht verfügbar. |
In einer Bereitstellung mit freigegebenen Geräten sind die Möglichkeit, mehrere Benutzerprofile auf einem Gerät zu speichern, um die Benutzeranmeldung zu vereinfachen, und die Möglichkeit, App-Daten vom vorherigen Benutzer zu löschen (einmaliges Abmelden), praktische Anforderungen für Bereitstellungen in Service und Produktion. Diese Funktionen sind auf Windows-Geräten und iPads mit freigegebenem iPad for Business nativ.
Benutzeridentität
Microsoft 365 for frontline workers verwendet Microsoft Entra ID als zugrunde liegenden Identitätsdienst zum Bereitstellen und Sichern aller Anwendungen und Ressourcen. Benutzer müssen über eine Identität verfügen, die in Microsoft Entra-ID vorhanden ist, um auf Microsoft 365-Cloudanwendungen zugreifen zu können.
Wenn Sie sich für die Verwaltung von Frontline-Benutzeridentitäten mit Active Directory Domain Services (AD DS) oder einem Identitätsanbieter eines Drittanbieters entscheiden, müssen Sie diese Identitäten mit Microsoft Entra ID verbinden. Erfahren Sie, wie Sie Ihren Drittanbieterdienst mit Microsoft Entra-ID integrieren.
Zu den möglichen Implementierungsmustern für die Verwaltung von Identitäten in Service und Produktion gehören:
- Microsoft Entra eigenständig: Ihr organization erstellt und verwaltet Benutzer-, Geräte- und Anwendungsidentitäten in Microsoft Entra ID als eigenständige Identitätslösung für Ihre Frontline-Workloads. Dieses Implementierungsmuster wird empfohlen, da es Ihre Frontline-Bereitstellungsarchitektur vereinfacht und die Leistung während der Benutzeranmeldung maximiert.
- integration Active Directory Domain Services (AD DS) mit Microsoft Entra ID: Microsoft bietet Microsoft Entra Connect, um diesen beiden Umgebungen beizutreten. Microsoft Entra Connect repliziert AD-Benutzerkonten in Microsoft Entra-ID, sodass ein Benutzer über eine einzige Identität verfügt, die sowohl auf lokale als auch auf cloudbasierte Ressourcen zugreifen kann. Obwohl sowohl AD DS als auch Microsoft Entra-ID als unabhängige Verzeichnisumgebungen vorhanden sein können, können Sie hybride Verzeichnisse erstellen.
- Synchronisierung der Identitätslösung von Drittanbietern mit Microsoft Entra-ID: Microsoft Entra-ID unterstützt die Integration mit Identitätsanbietern von Drittanbietern wie Okta und Ping Identity über den Verbund. Erfahren Sie mehr über die Verwendung von Identitätsanbietern von Drittanbietern.
HR-gesteuerte Benutzerbereitstellung
Die Automatisierung der Benutzerbereitstellung ist eine praktische Anforderung für Organisationen, die möchten, dass Mitarbeiter in Service und Produktion am ersten Tag auf Anwendungen und Ressourcen zugreifen können. Aus Sicherheitsgründen ist es auch wichtig, die Aufhebung der Bereitstellung während des Mitarbeiteroffboardings zu automatisieren, um sicherzustellen, dass frühere Mitarbeiter keinen Zugriff auf Unternehmensressourcen behalten.
Microsoft Entra Benutzerbereitstellungsdienst kann in cloudbasierte und lokale HR-Anwendungen wie Workday und SAP SuccessFactors integriert werden. Sie können den Dienst so konfigurieren, dass die Bereitstellung und Aufhebung der Bereitstellung von Benutzern automatisiert wird, wenn ein Mitarbeiter im HR-System erstellt oder deaktiviert wird.
Meine Mitarbeiter
Mit dem Feature "Meine Mitarbeiter" in Microsoft Entra ID können Sie allgemeine Benutzerverwaltungsaufgaben über das Portal "Meine Mitarbeiter" an Manager in Service und Produktion delegieren. Frontline-Manager können Passwörter zurücksetzen oder Telefonnummern für Frontline-Mitarbeiter direkt vom Geschäft oder der Fabrik verwalten, ohne die Anfragen an Helpdesk, Betrieb oder IT weiterleiten zu müssen.
My Staff ermöglicht es Frontline-Managern auch, die Telefonnummern ihrer Teammitglieder für die SMS-Anmeldung zu registrieren. Wenn die SMS-basierte Authentifizierung in Ihrer Organisation aktiviert ist, können sich Frontline-Mitarbeiter bei Teams und anderen Apps anmelden, indem sie nur ihre Telefonnummern und einen einmaligen Passcode verwenden, der per SMS gesendet wird. Dies macht die Anmeldung für Frontline-Mitarbeiter einfach, sicher und schnell.
Verwaltung mobiler Geräte
Mdm-Lösungen (Mobile Device Management) können die Bereitstellung, Verwaltung und Überwachung von Geräten vereinfachen. Microsoft Intune unterstützt nativ Features, die für die Bereitstellung freigegebener Geräte für Mitarbeiter in Service und Produktion wichtig sind. Zu diesen Leistungsbereichen gehören folgende:
- Zero-Touch-Bereitstellung: IT-Administratoren können mobile Geräte registrieren und vorkonfigurieren, ohne die Geräte physisch zu verwahren (für die manuelle Konfiguration). Diese Funktion ist nützlich, wenn sie gemeinsam genutzte Geräte in großem Umfang an Außenstellen bereitstellen, da Geräte direkt an den vorgesehenen Frontline-Standort geliefert werden können, wo automatisierte Konfigurations- und Bereitstellungsschritte remote ausgeführt werden können.
- Einmaliges Abmelden: Beendet Hintergrundprozesse und automatisiert die Benutzeranmeldung für alle Anwendungen und Ressourcen, die dem vorherigen Benutzer zugewiesen sind, wenn sich ein neuer Benutzer anmeldet. Android- und iOS-Geräte müssen im Modus für gemeinsam genutzte Geräte registriert sein, um einmaliges Abmelden zu verwenden.
- Microsoft Entra bedingten Zugriff: IT-Administratoren können automatisierte Zugriffssteuerungsentscheidungen für cloudbasierte Anwendungen und Ressourcen über identitätsgesteuerte Signale implementieren. Beispielsweise ist es möglich, den Zugriff durch ein freigegebenes oder BYOD-Gerät zu verhindern, auf dem nicht die neuesten Sicherheitsupdates installiert sind. Erfahren Sie mehr über das Schützen Ihrer Bereitstellung.
Wenn Sie eine MDM-Lösung eines Drittanbieters für die Bereitstellung freigegebener Geräte verwenden, z. B. Arbeitsbereich ONE oder SOTI MobiControl von VMware, ist es wichtig, die zugehörigen Funktionen, Einschränkungen und verfügbaren Problemumgehungen zu verstehen.
Einige MDMs von Drittanbietern können App-Daten löschen, wenn eine globale Abmeldung auf einem Android-Gerät erfolgt. Das Löschen von App-Daten kann jedoch datenverfehlen, die an einem freigegebenen Speicherort gespeichert sind, App-Einstellungen löschen oder dazu führen, dass die Erstausführung wieder angezeigt wird. Android-Geräte, die im Modus für gemeinsam genutzte Geräte registriert sind, können die erforderlichen Anwendungsdaten während des Gerätecheckvorgangs oder beim Anmelden des neuen Benutzers beim Gerät selektiv löschen. Erfahren Sie mehr über die Authentifizierung im Modus für gemeinsam genutzte Geräte.
Sie können den Modus für gemeinsam genutzte Geräte in MDM-Lösungen von Drittanbietern für iOS- und Android-Geräte manuell konfigurieren. Bei manuellen Konfigurationsschritten wird das Gerät jedoch nicht in Microsoft Entra-ID als kompatibel markiert. Dies bedeutet, dass bedingter Zugriff in diesem Szenario nicht unterstützt wird. Wenn Sie Geräte im Modus für gemeinsam genutzte Geräte manuell konfigurieren möchten, müssen Sie zusätzliche Schritte ausführen, um Android-Geräte im Modus für gemeinsam genutzte Geräte mit Zero-Touch-Bereitstellung erneut zu registrieren, um Unterstützung für bedingten Zugriff zu erhalten, wenn MDM-Unterstützung von Drittanbietern verfügbar ist, indem Authenticator vom Gerät deinstalliert und neu installiert wird.
Ein Gerät kann nur in einer MDM-Lösung registriert werden, aber Sie können mehrere MDM-Lösungen verwenden, um separate Gerätepools zu verwalten. Beispielsweise können Sie Workspace ONE für freigegebene Geräte und Intune für BYOD verwenden. Wenn Sie mehrere MDM-Lösungen verwenden, denken Sie daran, dass einige Benutzer möglicherweise nicht auf freigegebene Geräte zugreifen können, weil die Richtlinien für bedingten Zugriff nicht übereinstimmen.
| MDM-Lösung | Einmaliges Abmelden | Bereitstellung ohne Toucheingabe | Microsoft Entra bedingter Zugriff |
|---|---|---|---|
| Intune (Microsoft) | Unterstützt für Android- und iOS-Geräte, die im Modus für gemeinsam genutzte Geräte registriert sind | Unterstützt für Android- und iOS-Geräte, die im Modus für gemeinsam genutzte Geräte registriert sind | Unterstützt für Android- und iOS-Geräte, die im Modus für gemeinsam genutzte Geräte registriert sind |
| Arbeitsbereich 1 (VMware) | Unterstützt von Clear Android-App-Datenfunktionen . Für iOS nicht verfügbar | Derzeit nicht für Android und iOS verfügbar. | Derzeit nicht für Android und iOS verfügbar. |
| MobiControl (SOTI) | Unterstützt von Funktionen zum Zurücksetzen von Programmdaten . Für iOS nicht verfügbar. | Derzeit nicht für Android und iOS verfügbar. | Derzeit nicht für Android und iOS verfügbar. |
Windows-Geräte, die bei Intune registriert sind, unterstützen einmaliges Abmelden, die Bereitstellung ohne Toucheingabe und Microsoft Entra bedingten Zugriff. Sie müssen den Modus für gemeinsam genutzte Geräte auf Windows-Geräten nicht konfigurieren.
Intune wird für BYOD-Szenarien empfohlen, da es die beste Unterstützung und Funktionalität für alle Gerätetypen bietet.
Registrieren Sie persönliche Android- und iOS-Geräte
Zusätzlich zu Ihren unternehmenseigenen Geräten können Sie die privaten Geräte von Benutzern für die Verwaltung in Intune registrieren. Für die BYOD-Registrierung fügen Sie Gerätebenutzer im Microsoft Intune Admin Center hinzu, konfigurieren deren Registrierung und richten Intune-Richtlinien ein. Benutzer schließen die Registrierung in der Intune-Unternehmensportal-App ab, die auf ihrem Gerät installiert ist.
In einigen Fällen zögern Benutzer möglicherweise, ihre persönlichen Geräte für die Verwaltung zu registrieren. Wenn die Geräteregistrierung keine Option ist, können Sie einen MAM-Ansatz (Mobile Application Management) wählen und App-Schutzrichtlinien verwenden, um Apps zu verwalten, die Unternehmensdaten enthalten. Beispielsweise können Sie App-Schutzrichtlinien auf Teams und mobile Office-Apps anwenden, um zu verhindern, dass Unternehmensdaten in persönliche Apps auf dem Gerät kopiert werden.
Weitere Informationen finden Sie unter „Persönliche Geräte im Vergleich zu unternehmenseigenen Geräten“ im Intune-Planungsleitfaden und im Bereitstellungsleitfaden: Geräte in Microsoft Intune registrieren.
Authentifizierung
Authentifizierungsfeatures steuern, wer oder was ein Konto verwendet, um Zugriff auf Anwendungen, Daten und Ressourcen zu erhalten. Organisationen, die gemeinsam genutzte Geräte für Mitarbeiter in Service und Produktion bereitstellen, benötigen Authentifizierungssteuerungen, die die Produktivität der Mitarbeiter nicht beeinträchtigen und gleichzeitig nicht autorisierten oder unbeabsichtigten Zugriff auf Anwendungen und Daten verhindern, wenn Geräte zwischen authentifizierten Benutzern übertragen werden.
Die Frontline-Lösung von Microsoft wird aus der Cloud bereitgestellt und verwendet Microsoft Entra-ID als zugrunde liegenden Identitätsdienst zum Schützen von Microsoft 365-Anwendungen und -Ressourcen. Diese Authentifizierungsfeatures in Microsoft Entra ID berücksichtigen die eindeutigen Überlegungen für Bereitstellungen freigegebener Geräte: automatisches einmaliges Anmelden, einmaliges Abmelden und andere sichere Authentifizierungsmethoden.
Shared-Device-Modus
Der Modus für gemeinsam genutzte Geräte ist ein Feature von Microsoft Entra-ID, mit dem Sie Geräte so konfigurieren können, dass sie von Mitarbeitern freigegeben werden. Dieses Feature ermöglicht einmaliges Anmelden (Single Sign-On, SSO) und geräteweites Abmelden für Microsoft Teams und alle anderen Apps, die den Modus für gemeinsam genutzte Geräte unterstützen. Sie können diese Funktion mithilfe der Microsoft Authentication Library (MSAL) in Ihre Branchen-Apps (LOB) integrieren. Sobald sich ein Gerät im Modus für gemeinsam genutzte Geräte befindet, können Anwendungen, die die Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) nutzen, erkennen, dass sie auf einem freigegebenen Gerät ausgeführt werden, und bestimmen, wer der aktuell aktive Benutzer ist. Mit diesen Informationen können Anwendungen die folgenden Authentifizierungssteuerelemente ausführen:
- Automatisches einmaliges Anmelden: Wenn sich ein Benutzer bereits bei einer anderen MSAL-Anwendung angemeldet hat, wird er bei jeder Anwendung angemeldet, die mit dem Modus für gemeinsam genutzte Geräte kompatibel ist. Dies ist eine Verbesserung gegenüber dem vorherigen einmaligen Anmelden, da dadurch die Zeit für den Zugriff auf Anwendungen nach der Anmeldung bei der ersten Anwendung weiter verkürzt wird, da ein Benutzer kein zuvor angemeldetes Konto auswählen muss.
- Einmaliges Abmelden: Sobald sich ein Benutzer mit MSAL von einer App abmeldet, können alle anderen Anwendungen, die in den Modus für gemeinsam genutzte Geräte integriert sind, Hintergrundprozesse beenden und Datenlöschprozesse starten, um nicht autorisierten oder unbeabsichtigten Zugriff durch den nächsten Benutzer zu verhindern.
So funktioniert der Modus für gemeinsam genutzte Geräte am Beispiel von Teams. Wenn sich ein Mitarbeiter zu Beginn seiner Schicht bei Teams anmeldet, wird er automatisch bei allen anderen Apps angemeldet, die den Modus für gemeinsam genutzte Geräte auf dem Gerät unterstützen. Wenn sie sich am Ende ihrer Schicht von Teams abmelden, werden sie global von allen anderen Apps abgemeldet, die den Modus für gemeinsam genutzte Geräte unterstützen. Nach der Abmeldung kann nicht mehr auf die Daten und Unternehmensdaten des Mitarbeiters in Teams (einschließlich der darin gehosteten Apps) und in allen anderen Apps, die den Modus für gemeinsam genutzte Geräte unterstützen, zugegriffen werden. Das Gerät ist bereit für den nächsten Mitarbeiter und kann bedenkenlos übergeben werden.
Der Modus für gemeinsam genutzte Geräte ist eine Verbesserung der App-Datenlöschfunktion für Android, da er es Anwendungsentwicklern ermöglicht, personenbezogene Benutzerdaten selektiv zu löschen, ohne die App-Einstellungen oder zwischengespeicherten Daten zu beeinträchtigen. Im Modus für gemeinsam genutzte Geräte werden die Flags, die es einer Anwendung ermöglichen, sich zu merken, wenn eine erste Ausführung angezeigt wird, nicht gelöscht, sodass Benutzer nicht bei jeder Anmeldung eine erste Ausführung sehen.
Der Modus für gemeinsam genutzte Geräte ermöglicht auch, dass ein Gerät für alle Benutzer einmal bei Microsoft Entra-ID registriert wird, sodass Sie problemlos Profile erstellen können, die die App- und Datennutzung auf dem freigegebenen Gerät schützen. Dadurch können Sie den bedingten Zugriff unterstützen, ohne das Gerät jedes Mal erneut registrieren zu müssen, wenn sich ein neuer Benutzer beim Gerät authentifiziert.
Sie verwenden eine Lösung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) wie Microsoft Intune oder Microsoft Configuration Manager, um ein Gerät für die Freigabe vorzubereiten, indem Sie die Microsoft Authenticator-App installieren und den Freigegebenen Modus aktivieren. Teams und alle anderen Apps, die den Modus für freigegebene Geräte unterstützen, verwenden die Einstellung für den freigegebenen Modus, um Benutzer auf dem Gerät zu verwalten. Die von Ihnen verwendete MDM-Lösung sollte auch eine Gerätebereinigung durchführen, wenn eine Abmeldung erfolgt.
Hinweis
Der Modus für gemeinsam genutzte Geräte ist keine vollständige Lösung zur Verhinderung von Datenverlust. Der Modus für gemeinsam genutzte Geräte sollte in Verbindung mit MAM-Richtlinien (Microsoft Application Manager) verwendet werden, um sicherzustellen, dass Daten nicht in Bereiche des Geräts übertragen werden, in denen der Modus für gemeinsam genutzte Geräte nicht genutzt wird (z. B. lokaler Dateispeicher).
Voraussetzungen und Überlegungen
Sie müssen die folgenden Voraussetzungen erfüllen, um den Modus für gemeinsam genutzte Geräte verwenden zu können.
- Auf dem Gerät muss zuerst Microsoft Authenticator installiert sein.
- Das Gerät muss im Modus für gemeinsam genutzte Geräte registriert werden.
- Alle Anwendungen, die diese Vorteile benötigen, müssen in die APIs für den Modus für gemeinsam genutzte Geräte in MSAL integriert werden.
MAM-Richtlinien sind erforderlich, um zu verhindern, dass Daten von Anwendungen, für die der Freigegebene Gerätemodus aktiviert ist, in Anwendungen verschoben werden, für die der Modus für nicht freigegebene Geräte aktiviert ist.
Derzeit ist die Zero-Touch-Bereitstellung des Modus für gemeinsam genutzte Geräte nur mit Intune verfügbar. Wenn Sie eine MDM-Lösung eines Drittanbieters verwenden, müssen Geräte mithilfe der manuellen Konfigurationsschritte im Modus für gemeinsam genutzte Geräte registriert werden.
Hinweis
Der bedingte Zugriff wird für Manuell konfigurierte Geräte nicht vollständig unterstützt.
Einige Microsoft 365-Anwendungen unterstützen derzeit den Modus für gemeinsam genutzte Geräte nicht. In der folgenden Tabelle wird zusammengefasst, was verfügbar ist. Wenn in der benötigten Anwendung keine Integration im Modus für gemeinsam genutzte Geräte vorhanden ist, empfiehlt es sich, eine webbasierte Version Ihrer Anwendung in Microsoft Teams oder Microsoft Edge auszuführen, um die Vorteile des Modus für gemeinsam genutzte Geräte zu nutzen.
Der Modus für gemeinsam genutzte Geräte wird derzeit auf Android-Geräten unterstützt. Hier sind einige Ressourcen, die Ihnen den Einstieg erleichtern.
Registrieren Sie Android-Geräte im Modus für gemeinsam genutzte Geräte
Um Android-Geräte mit Intune im Modus für gemeinsam genutzte Geräte zu verwalten und zu registrieren, müssen die Geräte Android OS Version 8.0 oder höher ausführen und über Google Mobile Services (GMS)-Konnektivität verfügen. Weitere Informationen finden Sie unter:
- Richten Sie die Intune-Registrierung für dedizierte Android Enterprise-Geräte ein
- Registrieren dedizierter Android Enterprise-Geräte im Modus für gemeinsam genutzte Geräte Microsoft Entra
Sie können auch die Microsoft Managed Home Screen-App bereitstellen, um das Erlebnis für Benutzer auf ihren bei Intune registrierten dedizierten Android-Geräten anzupassen. Der verwaltete Startbildschirm fungiert als Startprogramm für andere genehmigte Apps, die darauf ausgeführt werden, und ermöglicht es Ihnen, Geräte anzupassen und den Zugriff von Mitarbeitern einzuschränken. Sie können beispielsweise festlegen, wie Apps auf dem Startbildschirm angezeigt werden, Ihr Firmenlogo hinzufügen, ein benutzerdefiniertes Hintergrundbild festlegen und Mitarbeitern erlauben, eine Sitzungs-PIN festzulegen. Sie können sogar so konfigurieren, dass die Abmeldung nach einem bestimmten Zeitraum der Inaktivität automatisch erfolgt. Weitere Informationen finden Sie unter:
- Konfigurieren Sie die Microsoft Managed Home Screen-App für Android Enterprise
- So richten Sie den Microsoft Managed Home Screen auf dedizierten Geräten im Multi-App-Kioskmodus ein
Für Entwickler, die Apps für den Modus für gemeinsam genutzte Geräte erstellen
Wenn Sie Entwickler sind, finden Sie in den folgenden Ressourcen weitere Informationen zum Integrieren Ihrer App in den Modus für gemeinsam genutzte Geräte:
Mehrstufige Authentifizierung
Microsoft Entra ID unterstützt verschiedene Formen der mehrstufigen Authentifizierung mit der Authenticator-App, FIDO2-Schlüsseln, SMS, Sprachanrufen und mehr.
Aufgrund höherer Kosten und gesetzlicher Einschränkungen sind die sichersten Authentifizierungsmethoden für viele Organisationen möglicherweise nicht praktikabel. Beispielsweise werden FIDO2-Sicherheitsschlüssel in der Regel als zu teuer angesehen, biometrische Tools wie Windows Hello können gegen bestehende Vorschriften oder Gewerkschaftsregeln verstoßen, und die SMS-Anmeldung ist möglicherweise nicht möglich, wenn Mitarbeiter in Service und Produktion ihre persönlichen Geräte nicht zur Arbeit bringen dürfen.
Die mehrstufige Authentifizierung bietet ein hohes Maß an Sicherheit für Anwendungen und Daten, erhöht jedoch die fortlaufende Benutzeranmeldung. Für Organisationen, die BYOD-Bereitstellungen auswählen, kann die mehrstufige Authentifizierung eine praktische Option sein. Es wird dringend empfohlen, dass Geschäfts- und Technische Teams die Benutzererfahrung mit der mehrstufigen Authentifizierung vor dem umfassenden Rollout überprüfen, damit die Auswirkungen der Benutzer bei den Bemühungen zur Änderungsverwaltung und Bereitschaft ordnungsgemäß berücksichtigt werden können.
Wenn die mehrstufige Authentifizierung für Ihr organization- oder Bereitstellungsmodell nicht möglich ist, sollten Sie die Verwendung robuster Richtlinien für bedingten Zugriff planen, um das Sicherheitsrisiko zu verringern.
Kennwortlose Authentifizierung
Um den Zugriff für Ihre Mitarbeiter in Service und Produktion weiter zu vereinfachen, können Sie kennwortlose Authentifizierungsmethoden nutzen, sodass mitarbeiter sich ihre Kennwörter nicht merken oder eingeben müssen. Kennwortlose Authentifizierungsmethoden sind in der Regel auch sicherer, und viele erfüllen bei Bedarf MFA-Anforderungen.
Bevor Sie mit einer kennwortlosen Authentifizierungsmethode fortfahren, müssen Sie ermitteln, ob sie in Ihrer vorhandenen Umgebung funktionieren kann. Überlegungen wie Kosten, Betriebssystemunterstützung, persönliche Geräteanforderungen und MFA-Unterstützung können sich darauf auswirken, ob eine Authentifizierungsmethode für Ihre Anforderungen geeignet wäre. Beispielsweise gelten FIDO2-Sicherheitsschlüssel derzeit als zu teuer, und sms- und Authenticator-Anmeldungen sind möglicherweise nicht möglich, wenn Mitarbeiter in Service und Produktion ihre persönlichen Geräte nicht zur Arbeit bringen dürfen.
Informationen zur Bewertung kennwortloser Authentifizierungsmethoden für Ihr Frontline-Szenario finden Sie in der Tabelle.
| Methode | Betriebssystemunterstützung | Erfordert ein persönliches Gerät | Unterstützt die mehrstufige Authentifizierung. |
|---|---|---|---|
| SMS-Anmeldung | Android und iOS | Ja | Nein |
| Windows Hello | Windows | Nein | Ja |
| Microsoft Authenticator | Alle | Ja | Ja |
| FIDO2-Taste | Windows | Nein | Ja |
Wenn Sie die Bereitstellung mit freigegebenen Geräten durchführen und die vorherigen kennwortlosen Optionen nicht möglich sind, können Sie die Anforderungen für sichere Kennwörter deaktivieren, damit Benutzer einfachere Kennwörter bereitstellen können, während sie sich bei verwalteten Geräten anmelden. Wenn Sie die Anforderungen für sichere Kennwörter deaktivieren möchten, sollten Sie diese Strategien ihrem Implementierungsplan hinzufügen.
- Deaktivieren Sie die Anforderungen für sichere Kennwörter nur für Benutzer freigegebener Geräte.
- Erstellen Sie eine Richtlinie für bedingten Zugriff, die verhindert, dass sich diese Benutzer bei nicht freigegebenen Geräten in nicht vertrauenswürdigen Netzwerken anmelden.
Authorization
Autorisierungsfeatures steuern, was ein authentifizierter Benutzer tun oder darauf zugreifen kann. In Microsoft 365 wird dies durch eine Kombination aus Microsoft Entra Richtlinien für bedingten Zugriff und Anwendungsschutzrichtlinien erreicht.
Die Implementierung robuster Autorisierungskontrollen ist eine wichtige Komponente für die Sicherung einer Bereitstellung gemeinsam genutzter Geräte in Service und Produktion, insbesondere wenn es aus Kosten- oder Praktikabilitätsgründen nicht möglich ist, starke Authentifizierungsmethoden wie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) zu implementieren.
Microsoft Entra bedingter Zugriff
Mit dem bedingten Zugriff können Sie Regeln erstellen, die den Zugriff basierend auf den folgenden Signalen einschränken:
- Benutzer- oder Gruppenmitgliedschaft
- IP-Standortinformationen
- Gerät (nur verfügbar, wenn das Gerät in Microsoft Entra-ID registriert ist)
- Anwendung
- Echtzeit- und berechnete Risikoerkennung
Richtlinien für bedingten Zugriff können verwendet werden, um den Zugriff zu blockieren, wenn sich ein Benutzer auf einem nicht konformen Gerät oder in einem nicht vertrauenswürdigen Netzwerk befindet. Sie können z. B. den bedingten Zugriff verwenden, um zu verhindern, dass Benutzer auf eine Bestandsanwendung zugreifen, wenn sie sich nicht im Arbeitsnetzwerk befinden oder ein nicht verwaltetes Gerät verwenden, abhängig von der Analyse anwendbarer Gesetze durch Ihre organization.
Für BYOD-Szenarien, in denen es sinnvoll ist, außerhalb der Arbeit auf Daten zuzugreifen, z. B. personalbezogene Informationen oder nicht geschäftsbezogene Anwendungen, können Sie sich dafür entscheiden, neben starken Authentifizierungsmethoden wie der mehrstufigen Authentifizierung auch freizügigere Richtlinien für bedingten Zugriff zu implementieren.
Der bedingte Zugriff wird für Folgendes unterstützt:
- Freigegebene Windows-Geräte, die in Intune verwaltet werden.
- Freigegebene Android- und iOS-Geräte, die im Modus für gemeinsam genutzte Geräte mit Zero-Touch-Bereitstellung registriert sind.
- BYOD für Windows, Android und iOS, die mit Intune oder MDM-Lösungen von Drittanbietern verwaltet werden.
Bedingter Zugriff wird nicht unterstützt für:
- Geräte, die manuell mit dem Modus für gemeinsam genutzte Geräte konfiguriert werden, einschließlich Android- und iOS-Geräten, die mit MDM-Lösungen von Drittanbietern verwaltet werden.
- iPad-Geräte, die freigegebenes iPad for Business verwenden.
Hinweis
Bedingter Zugriff für Android-Geräte, die mit ausgewählten MDM-Lösungen von Drittanbietern verwaltet werden, ist in Kürze verfügbar.
Weitere Informationen zum bedingten Zugriff finden Sie in der Dokumentation zum Microsoft Entra bedingten Zugriff.
App-Schutzrichtlinien
Mit MAM von Intune können Sie App-Schutzrichtlinien (APP) mit Anwendungen verwenden, die in das APP SDK von Intune integriert sind. Auf diese Weise können Sie die Daten Ihrer organization innerhalb einer Anwendung weiter schützen.
Mit App-Schutzrichtlinien können Sie Sicherheitsvorkehrungen für die Zugriffssteuerung hinzufügen, z. B.:
- Anfordern einer PIN, um eine App in einem Arbeitskontext zu öffnen.
- Steuern der Freigabe von Daten zwischen Anwendungen
- Verhindern des Speicherns von Unternehmens-App-Daten an einem privaten Speicherort
- Sicherstellen, dass das Betriebssystem des Geräts auf dem neuesten Stand ist
Sie können auch APPs verwenden, um sicherzustellen, dass Daten nicht an Anwendungen weitergegeben werden, die den Modus für gemeinsam genutzte Geräte nicht unterstützen. Um Datenverluste zu verhindern, müssen die folgenden APPs auf freigegebenen Geräten aktiviert sein:
- Deaktivieren Sie das Kopieren/Einfügen in Anwendungen, für die der Modus für nicht freigegebene Geräte aktiviert ist.
- Lokales Speichern von Dateien deaktivieren.
- Deaktivieren Sie Datenübertragungsfunktionen für Anwendungen, für die der Modus für nicht gemeinsam genutzte Geräte aktiviert ist.
APPs sind in BYOD-Szenarien hilfreich, da sie es Ihnen ermöglichen, Ihre Daten auf App-Ebene zu schützen, ohne das gesamte Gerät verwalten zu müssen. Dies ist wichtig in Szenarien, in denen Mitarbeiter über ein Gerät verfügen, das von einem anderen Mandanten (z. B. einer Universität oder einem anderen Arbeitgeber) verwaltet wird und nicht von einem anderen Unternehmen verwaltet werden kann.
Anwendungsverwaltung
Ihr Bereitstellungsplan sollte eine Bestandsaufnahme und Bewertung der Anwendungen enthalten, die Mitarbeiter in Service und Produktion benötigen, um ihre Aufgaben zu erledigen. In diesem Abschnitt werden Überlegungen und erforderliche Schritte behandelt, um sicherzustellen, dass Benutzer Zugriff auf erforderliche Anwendungen haben und die Erfahrung im Kontext Ihrer Frontline-Implementierung optimiert wird.
Für diese Bewertung werden Anwendungen in drei Gruppen kategorisiert:
- Microsoft-Anwendungen werden von Microsoft erstellt und unterstützt. Microsoft-Anwendungen unterstützen Microsoft Entra-ID und die Integration in das APP SDK von Intune. Allerdings werden nicht alle Microsoft-Anwendungen im Modus für gemeinsam genutzte Geräte unterstützt. [Hier finden Sie eine Liste der unterstützten Anwendungen und der Verfügbarkeit.] (Authentifizierungslesemarke)
- Anwendungen von Drittanbietern werden von einem Drittanbieter erstellt und kommerziell verkauft. Einige Anwendungen unterstützen Microsoft Entra-ID, das APP SDK von Intune oder den Modus für gemeinsam genutzte Geräte nicht. Arbeiten Sie mit dem Anwendungsanbieter und Ihrem Microsoft-Kontoteam zusammen, um zu bestätigen, wie die Benutzererfahrung aussehen wird.
- Benutzerdefinierte Branchenanwendungen werden von Ihrem organization entwickelt, um interne Geschäftsanforderungen zu erfüllen. Wenn Sie Anwendungen mit Power Apps erstellen, wird Ihre App automatisch mit Microsoft Entra-ID, Intune und dem Modus für gemeinsam genutzte Geräte aktiviert.
Die Anwendungen, auf die Benutzer in Service und Produktion zugreifen, erfüllen diese Anforderungen (sofern zutreffend), damit globales Einmaliges Anmelden und einmaliges Abmelden aktiviert werden können.
- Integrieren von benutzerdefinierten Anwendungen und Anwendungen von Drittanbietern in MSAL: Benutzer können sich bei Ihren Anwendungen mit Microsoft Entra-ID authentifizieren, einmaliges Anmelden aktivieren und Richtlinien für bedingten Zugriff anwenden.
- Integrieren von Anwendungen in den Modus für gemeinsam genutzte Geräte (gilt nur für freigegebene Android- oder iOS-Geräte): Anwendungen können die erforderlichen APIs für den Modus für gemeinsam genutzte Geräte in MSAL verwenden, um automatisches einmaliges Anmelden und einmaliges Abmelden durchzuführen. Wenn Sie diese APIs entsprechend verwenden, können Sie den Modus für gemeinsam genutzte Geräte integrieren. Dies ist nicht erforderlich, wenn Sie Ihre Anwendung in Teams, Microsoft Edge oder PowerApps ausführen.
- Integration in das APP SDK von Intune (gilt nur für freigegebene Android- oder iOS-Geräte): Anwendungen können in Intune verwaltet werden, um eine unbeabsichtigte oder nicht autorisierte Offenlegung von Daten zu verhindern. Dies ist nicht erforderlich, wenn Ihr MDM App-Datenlöschungen durchführt, die vertrauliche Daten während des Eincheckflows von Geräten zurücksetzen (einmaliges Abmelden).
Nachdem Sie Ihre Anwendungen erfolgreich überprüft haben, können Sie sie mithilfe Ihrer MDM-Lösung auf verwalteten Geräten bereitstellen. Auf diese Weise können Sie alle erforderlichen Anwendungen während der Geräteregistrierung vorinstallieren, sodass Benutzer am ersten Tag alles haben, was sie benötigen.
App-Startprogramme für Android-Geräte
Auf Android-Geräten besteht die beste Möglichkeit, eine fokussierte Erfahrung bereitzustellen, sobald ein Mitarbeiter ein Gerät öffnet, darin, einen angepassten Startbildschirm bereitzustellen. Mit einem angepassten Startbildschirm können Sie nur die relevanten Anwendungen anzeigen, die ein Mitarbeiter verwenden muss, und Widgets, die wichtige Informationen hervorheben.
Die meisten MDM-Lösungen bieten ein eigenes App-Startfeld, das verwendet werden kann. Microsoft stellt beispielsweise Managed Home Screen bereit. Wenn Sie ein eigenes benutzerdefiniertes App-Startfeld für freigegebene Geräte erstellen möchten, müssen Sie es in den Modus für gemeinsam genutzte Geräte integrieren, damit einmaliges Anmelden und einmaliges Abmelden auf Ihren Geräten funktionieren. In der folgenden Tabelle sind einige der gängigsten App-Startprogramme aufgeführt, die derzeit von Microsoft und Drittanbieterentwicklern verfügbar sind.
| App-Startfeld | Funktionen |
|---|---|
| Managed Home Screen | Verwenden Sie Managed Home Screen, wenn Sie möchten, dass Ihre Endbenutzer Zugriff auf eine bestimmte Gruppe von Anwendungen auf Ihren dedizierten Intune-registrierten Geräten haben sollen. Da Managed Home Screen automatisch als Standardstartbildschirm auf dem Gerät gestartet werden kann und dem Endbenutzer als einziger Startbildschirm angezeigt wird, ist dies in Szenarien mit gemeinsam genutzten Geräten nützlich, wenn eine gesperrte Oberfläche erforderlich ist. |
| Microsoft Launcher | Mit Microsoft Launcher können Benutzer ihr Smartphone personalisieren, unterwegs organisiert bleiben und Arbeit von ihrem Smartphone auf ihren PC übertragen. Microsoft Launcher unterscheidet sich von Managed Home Screen, da es dem Endbenutzer den Zugriff auf seinen Standardstartbildschirm ermöglicht. Microsoft Launcher ist daher in BYOD-Szenarien nützlich. |
| VMware Workspace ONE-Startprogramm | Für Kunden, die VMware verwenden, ist workspace ONE Launcher das beste Tool, um eine Reihe von Anwendungen zu zusammenstellen, auf die Ihre Mitarbeiter in Service und Produktion Zugriff benötigen. Die Abmeldeoption von diesem Startprogramm ermöglicht auch das Löschen von Android-App-Daten für einmaliges Abmelden auf VMware-Geräten. VMware Workspace ONE Launcher unterstützt derzeit den Modus für gemeinsam genutzte Geräte nicht. |
| Benutzerdefiniertes App-Startfeld | Wenn Sie eine vollständig angepasste Oberfläche wünschen, können Sie Ihr eigenes benutzerdefiniertes App-Startfeld erstellen. Sie können Ihr Startprogramm in den Modus für gemeinsam genutzte Geräte integrieren, sodass sich Ihre Benutzer nur einmal an- und abmelden müssen. |
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für