Hvordan skal medarbejdere uden en firma-pc få adgang til virksomhedens applikationer?

Hvordan skal medarbejdere uden en firma-pc få adgang til virksomhedens applikationer?

Medarbejdere uden firma-pc, typisk i handels- og servicebranchen, har indtil nu hverken haft brug for eller haft adgang til virksomhedens it-tjenester. Nu, hvor arbejds- og kommunikationsprocesser digitaliseres, er virksomhederne imidlertid afhængige af, at alle medarbejdere har adgang til en eller flere applikationer, og så opstår der hurtigt flere udfordringer!

For at få adgang til virksomhedens applikationer skal medarbejderen være registreret med en identitet i virksomhedens it-system. Virksomheden bliver ofte først opmærksom på behovet for en identitet til medarbejdere uden en firma-pc, når de vil introducere den første applikation, som denne gruppe også skal have adgang til. Det har flere oplevet for eksempel i forbindelse med introduktionen af det interne samarbejds- og kommunikationsværktøj Workplace from Meta. En applikation der nærmest er afhængigt af, at alle medarbejdere får adgang.

Typiske udfordringer, der ofte opstår, er:

  1. Hvordan inviterer man medarbejdere, der ikke har e-mail?
  2. Hvordan organiserer man identitetsinfrastrukturen / hvor skal de logge ind? 
  3. Hvordan får man kontrol over bruger livscyklussen?
  4. Hvordan distribueres nye applikationer?
  5. Selvbetjening og oplæring – eller tilpasning af brugersupport?  

1. Hvordan inviterer man medarbejdere, der ikke har e-mail?

Problemstillingen er grundlæggende og langt fra usædvanligt. Cloudworks har indført cloudtjenester i flere virksomheder med titusinder af medarbejdere uden e-mail tilknyttet virksomheden. Der er flere alternativer. Nogle er bedre end andre, men ingen er perfekte.

Proceduren skal tilpasses virksomheden, krav til sikkerhed og undertiden også regulative forhold betingelser. I Tyskland for eksempel ønsker medarbejderne som regel ikke at blive kontaktet af deres arbejdsgiver via SMS på sin private mobiltelefon.

Privat e-post

Privat e-mail kan være et naturligt valg, og måske modtager medarbejderen allerede lønsedlen på denne måde. Hvis dette ikke allerede er en indarbejdet kanal, er typiske udfordringer, at e-mailadressen er forældet, eller at medarbejderen simpelthen ikke bruger den aktivt.

Ud fra en sikkerhedsvurdering er det største problem, at virksomheden ikke kontrollerer e-mail-tjenesten. I værste fald kan en udenforstående have overtaget adressen.

SMS

En praktisk mulighed som vi har implementeret for flere virksomheder, er at sende invitationer via SMS. Denne kanal er heller ikke 100% sikker.  Det er dog væsentligt mere sandsynligt, at det vil blive opdaget, hvis oplysningerne kommer på afveje, f.eks. som følge af, at nogen har overtaget telefonnummeret.

Udskrift

En anden mulighed er at udskrive invitationer på papir og dele ud ved næste medarbejdersamling eller vedhæfte til lønsedlen. Dette er mere besværligt end at sende via SMS eller til privat e-mail, men i nogle tilfælde har man måske ikke noget andet valg.

Butikkansatt-i-kassen

2. Hvor skal medarbejderne logge ind?

For mange er dette den største udfordring, da valget påvirker grundlæggende dele af virksomhedens identitetsinfrastruktur. Udgangspunktet for de fleste virksomheder er, at de har Microsoft Active Directory (AD) som brugerdatabase, og at medarbejdere uden en firma-pc ikke er registreret der.

Hvis den manglende brugergruppe lægges ind i AD, skal der købes flere Client Access Licenses (CALs).  Hvis applikationen, der skal indføres, er en cloudtjeneste som for eksempel Office365 eller Workplace by Meta, er AD alene ikke tilstrækkelig. Den kan ikke uden videre godkende brugere til disse tjenester.

Direkte til cloudtjenesten

Den enkleste mulighed er at godkende medarbejderne direkte til den nye cloudtjeneste, forudsat at dette understøttes af tjenesten. Fordelen er, at der ikke er behov for yderligere infrastruktur. Ulempen er, at denne identitet ikke kan genbruges til andre applikationer. Det betyder, at det næste program, der skal introduceres for hele organisationen, ikke kan genbruge login til den første applikation. På lang sigt er dette ikke en brugervenlig løsning. 

Da de fleste virksomheder vil udrulle mere end 1 applikation i løbet af de næste par år, er vores anbefaling at introducere en identitetstjeneste fra dag ét, der vokser med virksomhedens behov.

Identitetstjenester

  • Active Directory- Federation Services

    Virksomhedens AD kan udvides med Active Directory Federation Services, som cloudtjenester kan bruge til at godkende brugere. Et alternativ indenfor Microsoft-porteføljen er at integrere den lokale AD med Azure AD. Dette er en gennemprøvet løsning, der fungerer særligt godt i homogene Microsoft-miljøer. Løsningen kan også integreres med cloudtjenester, der leveres af andre end Microsoft, men udvalget og supporten kan afhængigt af tjenesten opfattes som noget begrænset.

  • Uafhængige identitetsløsninger i clouden

    Organisationer der foretrækker uafhængige identitetsløsninger i clouden uden binding og favorisering af egen applikationsportefølje, kan overveje Okta eller lignende cloudbaserede identitetsudbydere. Dette er fuldgyldige IAM-platforme, der håndterer identitetsstyring i cloudtjenesterne og tilbyder avancerede godkendelsesfunktioner. 

  • On-premise platforme

    Hvis man vil etablere tjenesten lokalt, er Micro Focus | NetIQ, CA og andre on-premise platforme gode muligheder. Listen over identitets- og godkendelsesplatforme er lang, og   vokser konstant. Flere løsninger har gode egenskaber, og egnethed afhængigt af situationen og behovene.

Det er vigtigt at være opmærksom på, det vil forenkle introduktionen af cloudtjenester i din virksomhed betydeligt at vælge den rigtige identitetsløsning. Valg af løsning afhænger dog af de behov og planer, virksomheden har fremadrettet, så vores anbefaling er at udvikle en identitetsstrategi tidligt i processen.  

Verkstedsarbeider-uten-PC

3. Hvordan får man kontrol over bruger livscyklussen?

Svar på dette spørgsmål går hånd i hånd med det foregående punkt.  I hvert fald hvis brugerstyring ønskes automatiseret. Bruger livscyklussen handler i første omgang om on- og offboarding af medarbejdere til tjenester, de skal have adgang til. Dette kan naturligvis gøres manuelt, eller semi-manuelt ved hjælp af csv-import og lignende. Hvis dette ikke er relevant af sikkerhedsmæssige eller praktiske årsager, skal tjenesten integreres med identitetsinfrastrukturen.

Endvidere er spørgsmålet, hvad er virksomhedens proces?  Er datakvaliteten i AD god nok til at blive brugt som kilde? Det er ofte bedst at starte med HR-systemet, da det er her onboarding-processen ofte starter. I så fald bør identitetsløsningen integreres med HR-systemet som kilde. Måske findes der forskellige kilder til forskellige brugergrupper i virksomheden? Så skal mere end én kilde integreres.

Hvis medarbejderne uden en firma-pc ikke er registreret i HR-systemet eller i noget andet system, skal håndteringen foregå manuelt, og uddelegering af brugerstyring kan være et tiltag. Identitetsløsningen justeres derefter, så udpegede medarbejdere har mulighed for at oprette og fjerne brugere for deres butik eller område. Derpå undgås det også at etablere bestillingsprocesser for bestilling og fjernelse af adgange.

4. Hvordan distribueres nye applikationer?

Dette er lidt et sidespørgsmål der måske først senere vil blive opfattet som relevant. Traditionelt blev applikationer distribueret til skrivebordet. Med fremvæksten af cloudtjenester bruger man ofte en applikationsportal eller et intranet med links til virksomhedens applikationsportefølje. For medarbejdere uden en firma-pc kan intranettet dog stadig være langt væk. Så kan passe bedre med en applikationsportal, der distribueres som en app til mobilen, og som har et link til medarbejderens applikationer og meddelelser om, hvornår nye apps er tilgængelige.

Snekker-uten-jobb-PC

5. Selvbetjening og oplæring – eller tilpasning af brugersupport?

Organisationer med mange medarbejdere uden en firma-pc driver ofte deres forretning i brancher med lav margin. De har ofte en relativt høj brugerudskiftning, og brugervolumen er ofte højt, nogle gange meget højt. Hvis introduktionen af applikationer til denne medarbejdergruppe udløser lige så mange supportsager pr. medarbejder som for dem, der allerede har en pc og er tunge brugere af virksomhedens it-tjenester, kan det nemt dræbe supportafdelingen. Der kan simpelthen være alt for mange forespørgsler, fordi brugervolumen er så høj. Forståelsen af IT-løsninger er heller ikke nødvendigvis den samme i denne medarbejdergruppe.

Brugervenlighed og muligheden for selvbetjening er nøglen til en god oplevelse og effektiv drift.

  • Hav gode selvbetjeningsløsninger til ændring og nulstilling af adgangskoder.
  • Sørg for, at onboarding af brugere, især i forbindelse med introduktionen af tjenesten, er intuitiv.
  • Gør relevant dokumentation tilgængelig.
  • Husk, at brugergruppen sandsynligvis får adgang til tjenesten fra en mobiltelefon. Så dokumentation i traditionelt format er ikke så velegnet.
  • Tilbyde gerne e-learning i form af korte videoklip, der viser registrering, login, konfiguration af MFA, nulstilling af adgangskode og så videre. 

Det er fuldt ud muligt at tilrettelægge gode identitetsløsninger for de brancher, der er omtalt i denne artikel, uden at det koster en formue. Nøglen til succes er god planlægning. Virksomheden bør have en god forståelse af sin it-strategi de næste par år samt funktionelle behov og regulative krav, der skal tages i hensyn til.

Hos Cloudworks har vi stor erfaring med identitetsstyring i handels- og servicevirksomheder, og vi hjælper også gerne med afklaring og konceptuel rådgivning.

Få adgang med det samme til vores on-demand webinar om Moderne Onboarding