Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Фронтовые работники являются основой для каждой организации. Они поддерживают складские запасы, обеспечивают бесперебойную работу машин, организуют расположение магазинов и выступают в качестве первой точки контакта для клиентов. Мы зависят от них, чтобы обеспечить согласованное качество в ускоренном темпе при управлении личными рисками безопасности, увеличением кражи и текущими нарушениями в цепочке поставок.
Все большее число организаций предоставляет возможность своим информационным работникам (IW) и полевым сотрудникам (FLW) сотрудничать в одних и тех же облачных приложениях, таких как SharePoint, Teams и т. д. Поскольку эти облачные приложения доступны в Интернете, организации должны рассмотреть вопрос о защите среды, в том числе о защите от взломов учетных записей удаленно.
Для своих информационных работников многие организации хотят обеспечить более безопасную работу пользователей в любом месте и в любое время на любом устройстве, как описано в рекомендациях майкрософт по нулю доверия. Однако многие сотрудники передовой линии не подходят под модель, требующую доступ в любом месте, в любое время и с любого устройства. Вместо этого большинство работников передней линии попадают в модель, требующую двух типов доступа:
Рабочий доступ (по смене): во время работы сотрудник передней линии может требовать доступа к конфиденциальным приложениям.
Домашний доступ (в нерабочее время): Как дома, так и вдали от рабочего места, большинство работников первой линии не должны выполнять рабочие обязанности. Однако им может потребоваться доступ к нечувствительным рабочим приложениям для обмена данными вне смены, регистрации на смену или просмотра учебного материала. В некоторых случаях они также могут требовать доступа к конфиденциальным личным ресурсам, таким как paystub или W2.
В этой статье описаны рекомендации по защите внешних работников в различных сценариях доступа к дому или работе. Чтобы полностью усвоить эти советы по безопасности, важно сначала понять различные типы устройств, которые используются в различных условиях.
Типы устройств, используемые в рабочих средах переднего плана
Существует три основных типа устройств, используемых сотрудниками передней линии в большинстве сценариев:
Общие устройства: Это корпоративные устройства, которые совместно используются сотрудниками между задачами, сменами или расположениями.
Принести собственное устройство (BYOD): В некоторых организациях используется модель собственного устройства, в которой сотрудники переднего плана используют свои личные устройства для доступа к бизнес-приложениям.
Корпоративные устройства с одним пользователем: Эти устройства назначаются конкретному сотруднику только в целях работы, а не для личного использования. Хотя эта модель устройства является менее распространенной, мы рекомендуем организациям, использующим её для своих полевых сотрудников, следовать лучшим практикам работы в любом месте/в любое время/на любом устройстве, как описано в рекомендациях Microsoft по концепции Zero Trust.
Контроли безопасности для сред сотрудников первой линии
Для защиты фронтовых работников в различных условиях рекомендуются следующие меры безопасности:
| Элементы управления безопасностью | Описание |
|---|---|
| Управление мобильными устройствами (MDM) | Чтобы защитить устройства и доступ к данным, администраторы рекомендуется управлять ими с помощью MDM, например Microsoft Intune. |
| Режим общего устройства (SDM) включен |
Режим общего устройства — это функция, которая позволяет организациям настраивать устройство iOS, iPadOS или Android для совместного использования несколькими сотрудниками. Сотрудники могут выбрать устройство из общего пула, войти один раз и автоматически получить доступ ко всем приложениям, поддерживаемым SDM, через единый вход. Когда их смена заканчивается, они выходят на всех устройствах, что удаляет их личную и корпоративную информацию из всех приложений, поддерживаемых SDM. Затем они могут вернуть свое устройство в пул, обеспечивая безопасную передачу следующему рабочему сотруднику, так как другие пользователи не могут видеть или получать доступ к их информации. Рекомендуется включить SDM на общих устройствах. Помимо Microsoft Intune, ознакомьтесь с другими сторонними системами управления мобильными устройствами, поддерживающими режим общего устройства Microsoft Entra. |
| Политики защиты приложений | Политики защиты приложений Intune (APP) гарантируют безопасность данных организации в управляемых приложениях. Для повышения безопасности настройте политики условного доступа Microsoft Entra , чтобы обеспечить защиту приложений с помощью политики защиты приложений перед предоставлением доступа пользователям. |
| Блокировка экрана бездействия | Настройте функции блокировки экрана при бездействии и автоматического выхода с помощью приложений-лаунчеров, например, Управляемый начальный экран, чтобы защитить общие корпоративные устройства от несанкционированного доступа вредоносными коллегами, имеющими физический доступ. В BYOD настройте возможности блокировки экрана в iOS и Android , чтобы предотвратить локальные атаки. |
| Соответствие устройств | Развертывание Microsoft Intune или поддерживаемое стороннее MDM позволяет организациям применять требования к соответствию для устройств. Администраторы могут устанавливать политики для обеспечения соответствия устройств стандартам безопасности, например, требовать минимальную версию ОС, предотвращать использование взломанных или рутированных устройств и т.д. При настройке MDM отправляет сведения о соответствии политик идентификатору Microsoft Entra. Эти данные используются политикой условного доступа к устройству, чтобы определить, следует ли предоставлять или блокировать доступ к ресурсам, обеспечивая доступ только пользователей с соответствующими устройствами к ресурсам организации. |
| Интерактивная проверка подлинности пользователей | Интерактивная проверка подлинности пользователей гарантирует, что только авторизованные пользователи могут получить доступ к ресурсам при входе на устройство, приложение или службу. Администраторы должны выбирать методы проверки подлинности идентификатора Microsoft Entra, которые соответствуют или превышают стандарты безопасности, удобства использования и доступности организации. |
Сценарии доступа для сотрудников передней линии
Доступ на работу (во время смены)
Во время работы сотрудник переднего плана может получить доступ к конфиденциальным приложениям из защищенного или общедоступного расположения или сети. Такой сценарий требует более строгих элементов управления на всех типах устройств, включая общие, BYOD и корпоративные устройства с одним пользователем.
Рекомендуется разрешить доступ только с устройств, управляемых MDM и соответствующих требованиям. Это позволяет системе удостоверений автоматически проверять первый ключевой аспект соответствия устройств, прежде чем продолжить интерактивную проверку подлинности пользователей, предпочтительно MFA, чтобы повысить безопасность перед предоставлением доступа. К другим рекомендациям по защите пользователей и предотвращению сценариев потери данных относятся:
- Интегрируйте с пакетом SDK для приложений Intune и настройте политику условного доступа Microsoft Entra. Кроме того, включите возможности Intune по осуществлению выборочной очистки и отмените регистрацию пользователя в iOS во время выхода.
- Настройте на общих устройствах блокировку экрана при бездействии или автоматический выход с использованием программ-ланчеров, таких как Управляемый начальный экран. В сценарии BYOD используйте возможности блокировки экрана в iOS и Android.
- Включите режим общего устройства (SDM) для защиты пользовательских данных на общих устройствах и улучшения возможностей проверки подлинности для сотрудников переднего плана с помощью устройств.
Домашний доступ (в нерабочее время)
На домашних условиях фронтовые работники должны иметь ограниченный доступ к нечувствительным бизнес-приложениям, необходимым для ограниченного обмена данными вне смены или просмотра базовых учебных материалов. Некоторые организации также могут разрешить доступ к конфиденциальным персональным данным, таким как paystubs. Для этих сценариев рекомендуется использовать следующие рекомендации по обеспечению безопасности:
- Включение интерактивной многофакторной проверки подлинности
- Примените блокировку экрана при бездействии и политику защиты приложений.
- Следуйте лучшим практикам в любое время, в любом месте, на любом устройстве, как описано в рекомендациях Microsoft по Zero Trust в сценариях, когда вашей организации необходимо предоставить доступ к конфиденциальным приложениям для сотрудников, работающих на передовой, вне смены.
Замечание
Несмотря на то, что многие организации следуют модели домашнего или рабочего доступа сотрудников, некоторые организации могут иметь внутренние политики, позволяющие сотрудникам получать доступ к любому устройству из любого места и в любое время. Таким образом, такие организации должны применять те же политики для работников на передовой, что и для информационных работников, и таким образом следовать лучшим практикам по работе в любом месте, в любое время и на любом устройстве, как описано в рекомендациях Майкрософт по нулевому доверию.
Рекомендации по защите сотрудников передней линии
На следующем рисунке приведены общие сведения о рекомендуемых рекомендациях по защите внешних работников в различных сценариях доступа к домам или рабочим ресурсам, описанным в предыдущих разделах.
Начните с изучения лучших практик по обеспечению безопасности работников первой линии.
Чтобы применить рекомендации для сотрудников передней линии, выполните следующие действия.
Сопоставьте сценарий работы передовой с одним из сценариев, перечисленных в этой статье.
Просмотрите применимые элементы управления безопасностью:
- Управление устройствами с помощью MDM, например Microsoft Intune.
- Реализуйте режим общего устройства.
- Применение политик защиты приложений и политик условного доступа Microsoft Entra .
- Воспользуйтесь возможностями блокировки экрана бездействия, предлагаемыми приложениями средства запуска, такими как управляемый домашний экран и операционными системами — iOS и Android.
- Проверьте, соответствуют ли устройства требованиям безопасности в соответствии с условным доступом к устройству.
- Включите интерактивную проверку подлинности пользователей с помощью идентификатора Microsoft Entra.
Примените элементы управления в рамках рекомендаций по вашему сценарию.