Omówienie trybu udostępnionego urządzenia
Tryb urządzenia udostępnionego (SDM) to funkcja identyfikatora Entra firmy Microsoft, która umożliwia organizacjom konfigurowanie urządzenia z systemem iOS, iPadOS lub Android do użytku współużytkowanego przez wielu pracowników, co jest powszechną praktyką w środowiskach roboczych pierwszej linii. Dzięki narzędziu SDM pracownicy logują się raz w celu uzyskania dostępu do danych we wszystkich obsługiwanych aplikacjach bez uzyskiwania dostępu do danych innych pracowników. Gdy pracownicy wylogowują się po zakończeniu zmiany lub zadania, automatycznie wylogowują się z urządzenia i wszystkich obsługiwanych aplikacji, dzięki czemu urządzenie będzie gotowe dla następnego użytkownika.
Dlaczego tryb udostępnionego urządzenia?
Aby umożliwić pracownikom korzystanie z aplikacji organizacji na udostępnionych urządzeniach, deweloperzy powinni ułatwić usprawnione i bezpieczne środowisko użytkownika. Pracownicy powinni mieć możliwość wybrania urządzenia z puli udostępnionej i zalogowania się za pomocą jednego gestu, dzięki czemu urządzenie jest "ich" podczas zmiany. Po zakończeniu zmiany pracownicy mogą wykonać inny gest, aby globalnie wylogować się z urządzenia przed zwróceniem go do udostępnionej puli urządzeń. Włączenie trybu udostępnionego urządzenia zapewnia kilka korzyści, w tym:
- Logowanie jednokrotne: zezwalaj użytkownikom na logowanie się do jednej z aplikacji obsługujących tryb urządzenia udostępnionego i bezproblemowe uwierzytelnianie we wszystkich innych obsługiwanych aplikacjach SDM bez konieczności ponownego wprowadzania poświadczeń. Wyklucz użytkowników z ekranów pierwszego uruchomienia (FRE) na udostępnionych urządzeniach.
- Wylogowywanie jednokrotne: umożliwia użytkownikom wylogowanie się z urządzenia bez konieczności wylogowania się indywidualnie z każdej obsługiwanej aplikacji SDM. Wylogowywanie zapewnia użytkownikom, że ich dane nie będą wyświetlane kolejnym użytkownikom urządzenia, pod warunkiem, że aplikacje zapewniają czyszczenie wszystkich buforowanych danych użytkownika.
- Zabezpieczenia za pośrednictwem zasad dostępu warunkowego: Zapewniają administratorom możliwość określania określonych zasad dostępu warunkowego na urządzeniach udostępnionych, zapewniając, że pracownicy mają dostęp do danych firmowych tylko wtedy, gdy ich udostępnione urządzenie spełnia wewnętrzne standardy zgodności.
Scenariusze obsługiwane i nieobsługiwane
Funkcja trybu udostępnionego urządzenia obsługuje następujące scenariusze:
- Użytkownik loguje się do aplikacji obsługiwanej w trybie urządzenia udostępnionego (aplikacja biznesowa, aplikacja uruchamiania innej firmy lub aplikacja firmy Microsoft) na urządzeniu z systemem Android lub iOS/iPadOS przy użyciu poświadczeń identyfikatora Entra firmy Microsoft i jest automatycznie zalogowany do wszystkich aplikacji obsługiwanych w trybie urządzenia udostępnionego na urządzeniu.
- Użytkownik wylogowuje się z aplikacji obsługującej tryb udostępniania urządzenia (aplikacja biznesowa, uruchamiana przez firmę trzecią lub aplikacja firmy Microsoft) na urządzeniu z systemem Android lub iOS/iPadOS i jest wylogowywany ze wszystkich aplikacji obsługujących tryb UD na urządzeniu.
- Jeśli administrator konfiguruje zasady dostępu warunkowego z przyznaniem, które wymagają zarejestrowania urządzeń w usłudze zarządzania urządzeniami przenośnymi (MDM) i zgodności, użytkownik może zalogować się tylko do aplikacji obsługiwanej przez program SDM, jeśli urządzenie jest zgodne.
Uwaga
Jeśli użytkownik loguje się do aplikacji, która nie obsługuje trybu udostępnionego urządzenia, nie korzysta z logowania jednokrotnego i jednokrotnego wylogowania.
Role administratorów i deweloperów w implementowaniu trybu udostępnionego urządzenia
Aby korzystać z funkcji trybu udostępnionego urządzenia, administratorzy urządzeń w chmurze i deweloperzy aplikacji współpracują ze sobą:
Administratorzy urządzeń przygotowują urządzenia do udostępniania, konfigurując urządzenia w trybie udostępnionym ręcznie lub za pośrednictwem dostawcy zarządzania urządzeniami przenośnymi(MDM), takiego jak Microsoft Intune. Preferowaną opcją jest użycie rozwiązania MDM, ponieważ umożliwia skonfigurowanie urządzenia w trybie urządzenia współdzielonego na dużą skalę za pośrednictwem automatycznej aprowizacji. Rozwiązanie MDM jest skonfigurowane do przesyłania aplikacji Microsoft Authenticator do urządzenia z włączonym trybem udostępniania. Na urządzeniach z systemem iOS MDM włącza również wtyczkę jednokrotnego logowania Microsoft Enterprise wymaganą dla trybu udostępniania urządzeń.
Poniższe przewodniki zawierają bardziej szczegółowe informacje na temat konfigurowania urządzeń w trybie współdzielonym za pomocą Intune.
- Konfigurowanie rejestracji w usłudze Intune dedykowanych urządzeń z systemem Android Enterprise
- Konfigurowanie rejestracji dla urządzeń z systemami iOS i iPadOS w trybie urządzenia współdzielonego.
Urządzenia można również skonfigurować w trybie udostępnionego urządzenia przy użyciu obsługiwanego rozwiązania MDM innej firmy. Aby uzyskać listę MDM innych firm, które obsługują tryb współdzielonego urządzenia na Androidzie, zapoznaj się z MDM innych firm, które obsługują tryb współdzielonego urządzenia.
Konfiguracja ręczna to przydatne narzędzie do obsługi programów pilotażowych i wdrożeń na małą skalę. Wymaga to dostępu administratora urządzeń w chmurze i musi być wykonywane na każdym urządzeniu.
Deweloperzy aplikacji dodają obsługę trybu współdzielonego urządzenia do aplikacji klienckiej z pojedynczym kontem użytkownika, korzystając z Biblioteki uwierzytelniania Microsoft (MSAL). Biblioteka MSAL umożliwia aplikacjom modyfikowanie ich zachowania na podstawie sygnałów stanu urządzenia i użytkownika na urządzeniu. Na przykład aplikacja sprawdza stan użytkownika na urządzeniu za każdym razem, gdy aplikacja jest używana i czyści dane poprzedniego użytkownika, jeśli użytkownik uległ zmianie. W przypadku zmiany użytkownika aplikacja powinna upewnić się, że dane poprzedniego użytkownika zostaną wyczyszczone i że wszystkie buforowane dane wyświetlane w aplikacji zostaną usunięte.
Deweloperzy aplikacji mogą również zintegrować się z zestawem SDK aplikacji usługi Intune, aby obsługiwać wszystkie scenariusze zapobiegania utracie danych, co jest zdecydowanie zalecane. Zestaw SDK aplikacji usługi Intune umożliwia deweloperom obsługę zasad ochrony aplikacji usługi Intune w swoich aplikacjach. Firma Microsoft zaleca integrację z funkcjami selektywnego wymazywania w usłudze Intune i wyrejestrowaniem użytkownika na iOS podczas wylogowywania.
Obsługa trybu udostępnionego urządzenia powinna być traktowana jako uaktualnienie funkcji dla aplikacji i może pomóc zwiększyć jego wdrażanie w środowiskach, w których to samo urządzenie jest współużytkowane przez wielu użytkowników.
Uwaga
W przypadku aplikacji firmy Microsoft obsługujących tryb udostępnionego urządzenia nie trzeba wprowadzać żadnych dalszych zmian innych niż instalowanie ich na urządzeniu z włączonym trybem urządzenia udostępnionego.
Powiązana zawartość
Identyfikator Entra firmy Microsoft obsługuje tryb urządzenia udostępnionego na platformach iOS i Android. Aby uzyskać więcej informacji, zobacz: