管理一線員工的裝置
在每個行業中,前線工作人員占員工比很大。 前線工作者角色包括零售夥伴、工廠工人、現場和服務技術人員、醫療保健人員等等。
概觀
由於大量員工是行動的,並且通常是班次型的,因此管理前線工作者使用的裝置是重要基礎。 需要考慮的一些問題:
- 員工是否使用公司擁有的裝置或個人裝置?
- 公司擁有的裝置是在員工之間共用還是指派給個人?
- 員工是否將裝置帶回家或留在工作場所?
為員工管理裝置 (無論是共用裝置還是員工自己的裝置) 設定安全、符合標準的基準非常重要。 本文提供一般前線工作者裝置案例和管理功能的概觀,以協助賦權員工,同時保護公司資料。
裝置類型
共用、攜帶您自己的裝置和 kiosk 裝置是一線員工最常使用的裝置類型。
| 裝置類型 | 描述 | 使用原因 | 部署考量 |
|---|---|---|---|
| 共用的裝置 | 裝置是由您的組織所擁有和管理。 員工在工作時存取裝置。 | 工作者生產力和客戶體驗是最高優先順序。 背景工作無法在工作時存取組織資源。 當地法律可能會防止個人裝置用於商務用途。 |
登入/登出可能會增加背景工作經驗的摩擦。 可能會意外共用敏感性資料。 |
| 自備裝置 (BYOD) | 個人裝置由使用者擁有,並由您的組織管理。 | 您現有的行動裝置管理 (MDM) 解決方案可防止您的組織採用共用裝置模型。 從成本或業務整備觀點來看,共用裝置或專用裝置可能不切實際。 |
欄位位置的支援複雜度可能不可行。 個人裝置在 OS、儲存體和連線能力上各不相同。 某些背景工作可能無法可靠地存取個人行動裝置。 如果工作者在未計時存取資源時存取資源,您可能會對薪資產生潛在責任。 個人裝置的使用可能違反聯合規則或政府法規。 |
| Kiosk 裝置 | 裝置是由您的組織所擁有和管理。 使用者不需要登入或登出。 | 裝置有專用用途。 使用案例不需要使用者驗證。 |
共同作業、通訊、工作和工作流程應用程式需要使用者身分識別才能運作。 無法稽核使用者活動。 無法使用一些安全性功能,包括多重要素驗證。 |
共用裝置和 BYOD 通常會在一線部署中採用。 您可以使用本文後續章節中討論的功能,來解決或減輕貴組織對於使用者體驗、未經授權的背景工作角色存取資料,以及資源以及大規模部署和管理裝置的能力的疑慮。
注意事項
不建議使用 Kiosk 裝置部署,因為它們不允許使用者稽核和使用者型安全性功能,例如多重要素驗證。 深入瞭解 kiosk 裝置。
共用的裝置
許多前線工作者使用共用的行動裝置工作。 共用裝置是指公司擁有的裝置,可在不同工作、班次或位置的員工之間共用。
下方是典型案例的範例。 組織在充電底座中有裝置集區,供所有員工共用。 在班次開始時,員工從集區中拿起一台裝置,登入到 Teams 和其他對其角色至關重要的商務應用程式。 在班次結束時,他們登出並將裝置返回至集區中。 即使在同一個班次內,員工也可能在完成工作或簽退吃午飯時返回裝置,然後在再次簽入時拿起另一台裝置。
共用裝置帶來了獨特的安全挑戰。 例如,員工可以存取公司或客戶資料,而這些資料不應在同一台裝置上提供給其他人。
個人裝置 (BYOD)
一些組織使用攜帶您自己的裝置 (BYOD) 模式,前線工作者使用自己的行動裝置存取 Teams 和其他商務應用程式。 這裡是一些管理個人裝置存取和合規性的方法之概觀。
裝置作業系統
您選取的部署模型會部分決定您支援的裝置作業系統。 例如,如果您實作 BYOD 模型,則必須同時支援 Android 和 iOS 裝置。 如果您實作共用裝置模型,您選擇的裝置 OS 將會決定可用的功能。 例如,Windows 裝置原生支援儲存多個使用者設定檔以進行自動登入和使用Windows Hello進行簡單驗證的能力。 使用 Android 和 iOS 時,會套用更多步驟和必要條件。
| 裝置 OS | 考量 |
|---|---|
| Windows | 在裝置上儲存多個使用者設定檔的原生支援。 支援無密碼驗證的Windows Hello。 與 Microsoft Intune 搭配使用時簡化部署和管理功能。 |
| Android | 將多個使用者設定檔儲存在裝置上的原生功能有限。 您可以在共用裝置模式中註冊 Android 裝置,以自動化單一登入和登出。 強固的控制項和 API 管理。 為第一線使用而建置的現有裝置生態系統。 |
| iOS 和 iPadOS | iOS 裝置可以在共用裝置模式中註冊,以自動化單一登入和登出。 您可以使用共用 iPad for Business 在 iPadOS 裝置上儲存多個使用者設定檔。 因為 Apple 分割使用者設定檔的方式,所以商務用共用 iPad 無法使用條件式存取。 |
在共用裝置部署中,將多個使用者設定檔儲存在裝置上以簡化使用者登入,以及能夠從先前的使用者清除應用程式資料 (單一登出) 是一線部署的實際需求。 這些功能在使用共用 iPad for Business 的 Windows 裝置和 iPad 上是原生功能。
使用者身分識別
Microsoft 365 for frontline workers使用Microsoft Entra識別碼作為基礎身分識別服務,以傳遞及保護所有應用程式和資源。 使用者必須具有存在於Microsoft Entra識別碼中的身分識別,才能存取 Microsoft 365 雲端應用程式。
如果您選擇使用 Active Directory 網域服務 (AD DS) 或協力廠商身分識別提供者來管理一線使用者身分識別,您必須將這些身分識別同盟為Microsoft Entra識別碼。 瞭解如何整合您的協力廠商服務與Microsoft Entra識別碼。
管理一線身分識別的可能實作模式包括:
- Microsoft Entra獨立:您的組織會在Microsoft Entra識別碼中建立和管理使用者、裝置和應用程式身分識別,作為第一線工作負載的獨立身分識別解決方案。 建議使用此實作模式,因為它可簡化您的第一線部署架構,並在使用者登入期間將效能最大化。
- Active Directory 網域服務 (AD DS) 與Microsoft Entra識別碼整合:Microsoft 提供 Microsoft Entra Connect 來加入這兩個環境。 Microsoft Entra Connect 會將 AD 使用者帳戶複寫至Microsoft Entra識別碼,讓使用者擁有能夠存取本機和雲端式資源的單一身分識別。 雖然 AD DS 和Microsoft Entra識別碼都可以作為獨立目錄環境存在,但您可以選擇建立混合式目錄。
- 協力廠商身分識別解決方案與Microsoft Entra識別碼同步:Microsoft Entra識別碼支援透過同盟與 Okta 和 Ping 身分識別等協力廠商身分識別提供者整合。 深入瞭解如何使用協力廠商身分識別提供者。
HR 驅動的使用者布建
自動化使用者布建是組織的實際需求,這些組織希望第一線員工能夠存取第一天的應用程式和資源。 從安全性觀點來看,在員工離線期間自動取消布建也很重要,以確保先前的員工不會保留對公司資源的存取權。
Microsoft Entra使用者布建服務會與雲端式和內部部署 HR 應用程式整合,例如 Workday 和 SAP SuccessFactors。 您可以設定服務,在 HR 系統中建立或停用員工時,自動布建和取消布建使用者。
我的員工
使用Microsoft Entra識別碼中的 [我的員工] 功能,您可以透過 [我的員工] 入口網站,將一般使用者管理工作委派給一線管理員。 前線管理者可以直接從商店或工廠為前線工作者重設密碼或管理電話號碼,而無需將要求傳送至技術服務人員、營運部或 IT 部門。
[我的員工] 還可以讓前線管理者註冊其小組成員的電話號碼,以透過簡訊登入。 如果貴組織中啟用了 簡訊型驗證,那麼前線工作者只需使用其電話號碼和透過簡訊傳送的一次性密碼即可登入 Teams 和其他應用程式。 這使前線工作者的登入變得簡單、安全和快速。
行動裝置管理
行動裝置管理 (MDM) 解決方案可以簡化裝置的部署、管理和監視。 Microsoft Intune原生支援將共用裝置部署至一線員工的重要功能。 這些功能包括:
- 零觸控布建: IT 系統管理員可以註冊和預先設定行動裝置,而不需要實際管理裝置 (手動設定) 。 將共用裝置大規模部署到現場位置時,這項功能非常有用,因為裝置可以直接運送到預期的一線位置,以便從遠端完成自動化設定和布建步驟。
- 單一登出: 停止背景程式,並在新使用者登入時,將指派給前一位使用者的所有應用程式和資源的使用者登出自動化。 Android 和 iOS 裝置必須以共用裝置模式註冊,才能使用單一登出。
- Microsoft Entra條件式存取:IT 系統管理員可以透過身分識別驅動的訊號,為雲端式應用程式和資源實作自動化存取控制決策。 例如,您可以防止未安裝最新安全性更新的共用或 BYOD 裝置存取。 深入瞭解如何保護您的部署。
如果您針對共用裝置部署使用協力廠商 MDM 解決方案,例如 VMware 的工作區 ONE 或 SOTI MobiControl,請務必瞭解相關聯的功能、限制和可用的因應措施。
當 Android 裝置發生全域登出時,某些協力廠商 MDM 可以清除應用程式資料。 不過,應用程式資料清除可能會遺漏儲存在共用位置的資料、刪除應用程式設定,或導致初次執行體驗重新出現。 在共用裝置模式中註冊的 Android 裝置可以在裝置簽入期間或新使用者登入裝置時,選擇性地清除必要的應用程式資料。 深入瞭解共用裝置模式中的驗證。
您可以在 iOS 和 Android 裝置的協力廠商 MDM 解決方案中手動設定共用裝置模式,不過,手動設定步驟不會在Microsoft Entra識別碼中標示裝置相容,這表示在此案例中不支援條件式存取。 如果您選擇以手動方式在共用裝置模式中設定裝置,則必須採取其他步驟,以零觸控布建在共用裝置模式中重新註冊 Android 裝置,以在可使用協力廠商 MDM 支援時取得條件式存取支援,方法是從裝置卸載並重新安裝 Authenticator。
裝置只能在一個 MDM 解決方案中註冊,但您可以使用多個 MDM 解決方案來管理個別的裝置集區。 例如,您可以將工作區 ONE 用於共用裝置和 Intune for BYOD。 如果您使用多個 MDM 解決方案,請記住,某些使用者可能因為條件式存取原則不相符而無法存取共用裝置。
| MDM 解決方案 | 單一登出 | 零觸控布建 | Microsoft Entra條件式存取 |
|---|---|---|---|
| Intune (Microsoft) | 支援以共用裝置模式註冊的 Android 和 iOS 裝置 | 支援以共用裝置模式註冊的 Android 和 iOS 裝置 | 支援以共用裝置模式註冊的 Android 和 iOS 裝置 |
| 工作區 1 (VMware) | 支援 Clear Android 應用程式資料 功能。 iOS 無法使用 | Android 和 iOS 目前無法使用。 | Android 和 iOS 目前無法使用。 |
| MobiControl (SOTI) | 支援 抹除程式資料 功能。 iOS 無法使用。 | Android 和 iOS 目前無法使用。 | Android 和 iOS 目前無法使用。 |
在 Intune 中註冊的 Windows 裝置支援單一登出、零觸控布建,以及Microsoft Entra條件式存取。 您不需要在 Windows 裝置上設定共用裝置模式。
建議針對 BYOD 案例使用 Intune,因為它可跨裝置類型提供現成的最佳支援和功能。
註冊 Android 和 iOS 個人裝置
除了公司擁有的裝置外,您還可以將使用者個人擁有的裝置註冊到 Intune 中的管理。 針對 BYOD 註冊,您可以在Microsoft Intune系統管理中心新增裝置使用者、設定其註冊體驗,以及設定 Intune 原則。 使用者在其裝置上安裝的 Intune 公司入口網站應用程式中自行完成註冊。
在某些情况下,使用者可能不願意將其個人裝置註冊到管理中。 如果沒有裝置註冊的選項,您可以選擇行動裝置應用程式管理 (MAM) 方法,並使用 應用程式保護原則 來管理包含公司資料的應用程式。 例如,您可以將應用程式保護原則套用至 Teams 和 Office 行動應用程式,以防止公司資料被複製到裝置上的個人應用程式中。
若要深入了解,請參閱 Intune 規劃指南中的「個人裝置與組織擁有的裝置」 和 部署指南:在 Microsoft Intune 註冊裝置。
驗證
驗證功能可控制誰或哪些人使用帳戶來取得應用程式、資料和資源的存取權。 將共用裝置部署到一線員工的組織需要驗證控制措施,這些控制不會妨礙背景工作角色的生產力,同時防止在經過驗證的使用者之間傳輸裝置時,未經授權或非預期的應用程式和資料存取。
Microsoft 的第一線解決方案是從雲端提供,並利用Microsoft Entra識別碼作為基礎身分識別服務,以保護 Microsoft 365 應用程式和資源。 Microsoft Entra識別碼中的這些驗證功能可解決共用裝置部署的唯一考慮:自動單一登入、單一登出和其他增強式驗證方法。
共用裝置模式
共用裝置模式是Microsoft Entra識別碼的功能,可讓您設定要由員工共用的裝置。 此功能可為 Microsoft Teams 和所有其他支援共用裝置模式的應用程式啟用單一登入 (SSO) 和全裝置登出。 您可以使用 Microsoft 驗證程式庫 (MSAL) 將此功能整合至您的企業營運 (LOB) 應用程式中。 一旦裝置處於共用裝置模式,利用 Microsoft 驗證程式庫 (MSAL) 的應用程式可以偵測到它們正在共用裝置上執行,並判斷目前作用中的使用者是誰。 透過這項資訊,應用程式可以完成這些驗證控制項:
- 自動單一登入: 如果使用者已登入另一個 MSAL 應用程式,使用者將會登入任何與共享裝置模式相容的應用程式。 這是先前單一登入體驗的改進,因為它可藉由移除使用者選取先前已登入帳戶的需求,進一步減少登入第一個應用程式之後存取應用程式所需的時間。
- 單一登出: 一旦使用者使用 MSAL 登出應用程式,與共享裝置模式整合的所有其他應用程式都可以停止背景處理常式,並開始登出資料清除程式,以防止下一位使用者未經授權或非預期的存取。
以下是共用裝置模式的運作原理,以 Teams 為例。 當員工在班次開始時登入至 Teams 時,他們將自動登入至裝置上支援共用裝置模式的所有其他應用程式。 在班次結束時,當他們登出 Teams 時,他們將從所有其他支援共用裝置模式的應用程式中全域退出。 登出之後,就無法再存取 Teams 中的員工資料和公司資料 (包括) 和所有其他支援共用裝置模式的應用程式。 裝置已為下一位員工做好準備,可以安全地交付。
共用裝置模式是 Android 應用程式資料清除功能的改進,因為它可讓應用程式開發人員選擇性地清除個人使用者資料,而不會影響應用程式設定或快取資料。 使用共用裝置模式時,不會刪除允許應用程式記住第一次執行體驗的旗標,因此使用者不會在每次登入時看到第一次執行體驗。
共用裝置模式也可讓裝置向所有使用者註冊一次Microsoft Entra識別碼,讓您可以輕鬆地建立設定檔,以保護共用裝置上的應用程式和資料使用量。 這可讓您支援條件式存取,而不需要在每次新使用者向裝置進行驗證時重新註冊裝置。
您可以使用行動裝置管理 (MDM) 解決方案,例如Microsoft Intune或Microsoft Configuration Manager安裝Microsoft Authenticator 應用程式並開啟共用模式來準備要共用的裝置。 支援共用裝置模式的 Teams 和所有其他應用程式使用共用模式設定來管理裝置上的使用者。 您使用的 MDM 解決方案還應該在登出時執行裝置清理。
注意事項
共用裝置模式不是完整的資料外泄防護解決方案。 共用裝置模式應與 Microsoft Application Manager (MAM) 原則搭配使用,以確保資料不會洩漏到未利用共用裝置模式的裝置區域, (例如本機檔案儲存體) 。
必要條件和考慮
您必須符合下列必要條件,才能使用共用裝置模式。
- 裝置必須先安裝 Microsoft Authenticator。
- 裝置必須以共用裝置模式註冊。
- 所有需要這些優點的應用程式都必須與 MSAL 中的共用裝置模式 API 整合。
需要 MAM 原則,以防止資料從已啟用共用裝置模式的應用程式移至已啟用非共用裝置模式的應用程式。
目前,共用裝置模式的零觸控布建僅適用于 Intune。 如果您使用協力廠商 MDM 解決方案,則必須使用 手動設定步驟,以共用裝置模式註冊裝置。
注意事項
手動設定的裝置不完全支援條件式存取。
某些 Microsoft 365 應用程式目前不支援共用裝置模式。 下表摘要說明可用的內容。 如果您需要的應用程式缺少共用裝置模式整合,建議您在 Microsoft Teams 或 Microsoft Edge 中執行以 Web 為基礎的應用程式版本,以獲得共用裝置模式的優點。
Android 裝置目前支援共用裝置模式。 以下是一些協助您入門的資源。
將 Android 裝置註冊至共用裝置模式
若要使用 Intune 管理 Android 裝置並將其註冊到共用裝置模式,裝置必須執行 Android OS 版本 8.0 或更新版本,並具有 Google 行動服務 (GMS) 連線。 若要深入了解,請參閱:
您還可以選擇部署 Microsoft 受控主畫面應用程式,為使用者在其 Intune 註冊的 Android 專用裝置上自訂體驗。 受控主畫面充當其他經核准的應用程式在其上執行的啟動器,並允許您自訂裝置和限制員工可以存取的內容。 例如,您可以定義應用程式在主畫面上的顯示方式,新增公司標誌,設定自訂壁紙,並允許員工設定工作階段 PIN。 您甚至可以將登出設定為在指定的閒置期間之後自動發生。 若要深入了解,請參閱:
適用於為共用裝置模式建立應用程式的開發人員
如果您是開發人員,請參閱以下參考資料,了解如何將應用程式與共用裝置模式整合的更多資訊:
多重要素驗證
Microsoft Entra識別碼支援數種形式的多重要素驗證,包括 Authenticator 應用程式、FIDO2 金鑰、簡訊、語音通話等等。
由於成本和法律限制較高,對許多組織而言,最安全的驗證方法可能不實用。 例如,FIDO2 安全性金鑰通常被視為成本太高,像是Windows Hello之類的生物特徵辨識工具可能會針對現有的法規或聯合規則執行,而且如果不允許第一線員工將個人裝置帶入工作,則可能無法使用 SMS 登入。
多重要素驗證可為應用程式和資料提供高階安全性,但會對使用者登入增加持續的摩擦。 對於選擇 BYOD 部署的組織而言,多重要素驗證不一定為實際選項。 強烈建議商務和技術小組在廣泛推出之前,先驗證多重要素驗證的使用者體驗,以便在變更管理和整備工作中正確考慮使用者的影響。
如果您的組織或部署模型無法使用多重要素驗證,您應該規劃利用健全的條件式存取原則來降低安全性風險。
無密碼驗證
若要進一步簡化第一線員工的存取,您可以利用無密碼驗證方法,讓員工不需要記住或輸入其密碼。 無密碼驗證方法通常也會更安全,而且許多方法都可以在必要時滿足 MFA 需求。
繼續使用無密碼驗證方法之前,您必須先判斷它是否可以在現有的環境中運作。 成本、OS 支援、個人裝置需求和 MFA 支援等考慮可能會影響驗證方法是否適用于您的需求。 例如,FIDO2 安全性金鑰目前被視為成本太高,而且如果不允許第一線員工攜帶其個人裝置來工作,則可能無法登入 SMS 和 Authenticator。
請參閱資料表,以評估一線案例的無密碼驗證方法。
| 方法 | OS 支援 | 需要個人裝置 | 支援多重要素驗證 |
|---|---|---|---|
| SMS 登入 | Android 和 iOS | 是 | 否 |
| Windows Hello | Windows | 否 | 是 |
| Microsoft Authenticator | 全部 | 是 | 是 |
| FIDO2 金鑰 | Windows | 否 | 是 |
如果您要使用共用裝置進行部署,且先前的無密碼選項不可行,您可以選擇停用強式密碼需求,讓使用者可以在登入受控裝置時提供更簡單的密碼。 如果您選擇停用強式密碼需求,您應該考慮將這些策略新增至您的實作計畫。
- 僅停用共用裝置使用者的強式密碼需求。
- 建立條件式存取原則,以防止這些使用者登入非信任網路上的非共用裝置。
授權
授權功能可控制已驗證的使用者可以執行或存取的專案。 在 Microsoft 365 中,這是透過Microsoft Entra條件式存取原則和應用程式保護原則的組合來達成。
實作強固的授權控制是保護一線共用裝置部署的重要元件,特別是如果基於成本或實際性原因,無法實作多重要素驗證 (MFA) 等增強式驗證方法時。
Microsoft Entra條件式存取
使用條件式存取,您可以根據下列訊號建立限制存取的規則:
- 使用者或群組成員資格
- IP 位置資訊
- 裝置 (只有在裝置已註冊Microsoft Entra識別碼時才可用)
- 應用程式
- 即時和匯出的風險偵測
當使用者在不符合規範的裝置上,或是在不受信任的網路上時,可以使用條件式存取原則來封鎖存取。 例如,您可以使用條件式存取來防止使用者在不在工作網路上或使用非受控裝置時存取清查應用程式,視貴組織對適用法律的分析而定。
針對在工作外部存取資料的合理 BYOD 案例,例如 HR 相關資訊或非商務相關應用程式,您可以選擇實作更寬鬆的條件式存取原則,以及強式驗證方法,例如多重要素驗證。
下列專案支援條件式存取:
- 在 Intune 中管理的共用 Windows 裝置。
- 以零觸控布建在共用裝置模式中註冊的共用 Android 和 iOS 裝置。
- 使用 Intune 或協力廠商 MDM 解決方案管理之 Windows、Android 和 iOS 的 BYOD。
下列專案不支援條件式存取:
- 以共用裝置模式手動設定的裝置,包括使用協力廠商 MDM 解決方案管理的 Android 和 iOS 裝置。
- 使用共用 iPad for Business 的 iPad 裝置。
注意事項
使用選取的協力廠商 MDM 解決方案所管理之 Android 裝置的條件式存取即將推出。
如需條件式存取的詳細資訊,請參閱Microsoft Entra條件式存取檔。
應用程式防護原則
透過來自 Intune 的 MAM,您可以使用應用程式保護原則 (應用程式) 與 Intune APP SDK整合的應用程式。 這可讓您進一步保護應用程式內的組織資料。
使用應用程式保護原則,您可以新增存取控制保護措施,例如:
- 需要 PIN 碼才能在工作環境中開啟應用程式。
- 控制應用程式之間的資料共用
- 防止將公司應用程式資料儲存到個人儲存位置
- 確定裝置的作業系統是最新狀態
您也可以使用 APP 來確保資料不會洩漏到不支援共用裝置模式的應用程式。 若要防止資料遺失,必須在共用裝置上啟用下列 APP:
- 停用已啟用非共用裝置模式的應用程式的複製/貼上。
- 停用本機檔案儲存。
- 停用已啟用非共用裝置模式應用程式的資料傳輸功能。
APP 在 BYOD 案例中很有説明,因為它們可讓您在應用層級保護您的資料,而不需要管理整個裝置。 在員工可能擁有由另一個租使用者管理的裝置 (例如,大學或其他雇主) ,且無法由另一家公司管理的情況下,這一點很重要。
應用程式管理
您的部署計畫應該包含清查和評估第一線員工執行其工作所需的應用程式。 本節涵蓋考慮和必要步驟,以確保使用者能夠存取必要的應用程式,且體驗已在您的第一線實作內容中優化。
基於此評量的目的,應用程式會分類為三個群組:
- Microsoft 已建置並支援 Microsoft 應用程式。 Microsoft 應用程式支援Microsoft Entra識別碼,並與 Intune 的 APP SDK 整合。 不過,並非所有 Microsoft 應用程式都支援共用裝置模式。 [請參閱支援的應用程式和可用性清單。] (驗證書簽)
- 協力廠商應用程式是由協力廠商 提供者以商業方式建置和銷售。 有些應用程式不支援Microsoft Entra識別碼、Intune 的 APP SDK 或共用裝置模式。 請與應用程式提供者和您的 Microsoft 帳戶小組合作,確認使用者體驗。
- 自訂企業營運應用程式 是由您的組織所開發,以因應內部商務需求。 如果您使用 Power Apps 建置應用程式,您的應用程式將會自動啟用Microsoft Entra識別碼、Intune 和共用裝置模式。
一線使用者存取的應用程式符合這些需求, () 啟用全域單一登入和單一登出的適用) 。
- 整合自訂和協力廠商應用程式與MSAL:使用者可以使用Microsoft Entra識別碼向您的應用程式進行驗證、啟用 SSO,以及套用條件式存取原則。
- 將應用程式與共享裝置模式整合 (僅適用于 Android 或 iOS 共用裝置) : 應用程式可以在 MSAL 中使用必要的共用裝置模式 API 來執行自動單一登入和單一登出。適當地使用這些 API 可讓您與共享裝置模式整合。 如果您是在 Teams、Microsoft Edge 或 PowerApps 中執行應用程式,則不需要這麼做。
- 與 Intune 的 APP SDK 整合 (僅適用于 Android 或 iOS 共用裝置) : 您可以在 Intune 中管理應用程式,以防止意外或未經授權的資料暴露。 如果您的 MDM 執行的應用程式資料清除會在裝置簽入流程期間抹除任何敏感性資料, (單一登出) ,則不需要這麼做。
成功驗證應用程式之後,您可以使用 MDM 解決方案將它們部署到受控裝置。 這可讓您在裝置註冊期間預先安裝所有必要的應用程式,讓使用者在第一天擁有所需的一切。
適用于 Android 裝置的應用程式啟動器
在 Android 裝置上,當員工開啟裝置時,提供聚焦體驗的最佳方式是提供自訂的啟動畫面。 透過自訂的啟動畫面,您只能顯示員工需要使用的相關應用程式,以及醒目提示重要資訊的小工具。
大部分的 MDM 解決方案都提供自己的應用程式啟動器,可供使用。 例如,Microsoft 提供受控主畫面。 如果您想要為共用裝置建置自己的自訂應用程式啟動器,您必須將其與共享裝置模式整合,讓單一登入和單一登出可在您的裝置上運作。 下表強調 Microsoft 和協力廠商開發人員目前可用的一些最常見應用程式啟動器。
| 應用程式啟動器 | 功能 |
|---|---|
| 受控主畫面 | 當您希望終端使用者能夠存取 Intune 註冊專用裝置上的一組特定應用程式時,請使用受控主畫面。 因為受控主畫面可以自動啟動為裝置上的預設主畫面,並讓終端使用者顯示為唯一的首頁畫面,所以在需要鎖定體驗時,在共用裝置案例中會很有用。 |
| Microsoft Launcher | Microsoft Launcher 可讓使用者個人化其手機、隨時待用,以及將工作從手機傳輸到電腦。 Microsoft Launcher 與受控主畫面不同,因為它允許使用者存取其標準主畫面。 因此,Microsoft Launcher 在 BYOD 案例中很有用。 |
| VMware 工作區 ONE 啟動器 | 對於使用 VMware 的客戶而言,工作區 ONE 啟動器是策劃一組您的第一線員工需要存取之應用程式的最佳工具。 此啟動器的登出選項也可讓 Android 應用程式資料清除在 VMware 裝置上單一登出。 VMware 工作區 ONE 啟動器目前不支援共用裝置模式。 |
| 自訂應用程式啟動器 | 如果您想要完全自訂的體驗,您可以建置自己的自訂應用程式啟動器。 您可以將啟動器與共享裝置模式整合,讓使用者只需要登入和登出一次。 |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應