Režim sdíleného zařízení pro zařízení s Androidem
Pracovníci frontline, jako jsou maloobchodní spolupracovníci, členové letové posádky a služby u zákazníků pracovníci často používají ke své práci sdílené mobilní zařízení. To je problematické, když začnou sdílet hesla nebo připnout čísla pro přístup k zákaznickým a obchodním datům na sdíleném zařízení.
Režim sdíleného zařízení umožňuje nakonfigurovat zařízení s Androidem, aby ho mohlo snadno sdílet více zaměstnanců. Zaměstnanci se můžou rychle přihlásit a získat přístup k informacím o zákazníci. Po dokončení směny nebo úkolu se můžou ze zařízení odhlásit a bude okamžitě připraven k použití dalšího zaměstnance.
Režim sdíleného zařízení také poskytuje správu zařízení založené na identitě Microsoftu.
Pokud chcete vytvořit aplikaci režimu sdíleného zařízení, vývojáři a správci cloudových zařízení spolupracují:
- Vývojáři píší aplikaci s jedním účtem (aplikace s více účty nejsou podporované v režimu sdíleného zařízení), přidají
"shared_device_mode_supported": true
se do konfigurace aplikace a napíšou kód pro zpracování věcí, jako je odhlášení ze sdíleného zařízení. - Správci zařízení připraví zařízení ke sdílení instalací ověřovací aplikace a nastavením zařízení do sdíleného režimu pomocí ověřovací aplikace. Pomocí aplikace Authenticator můžou zařízení vložit do sdíleného režimu jenom uživatelé, kteří jsou v roli cloudového zařízení Správa istrator. Členství v organizačních rolích můžete nakonfigurovat v Centru pro správu Microsoft Entra v části:
Role identit>a Správa>role a Správa s>cloudová zařízení Správa istrator
Tento článek se zaměřuje především na to, o čem by se vývojáři měli zamyslet.
Jednoúčelové a více účtů
Aplikace napsané pomocí sady MICROSOFT Authentication Library (MSAL) SDK můžou spravovat jeden nebo více účtů. Podrobnosti najdete v režimu jednoho účtu nebo režimu více účtů.
Funkce platformy Microsoft Identity Platform dostupné pro vaši aplikaci se liší v závislosti na tom, jestli je aplikace spuštěná v režimu s jedním účtem nebo v režimu více účtů.
Aplikace režimu sdíleného zařízení fungují jenom v režimu s jedním účtem.
Důležité
Aplikace, které podporují jenom režim více účtů, se nedají spustit na sdíleném zařízení. Pokud zaměstnanec načte aplikaci, která nepodporuje režim jednoho účtu, nespustí se na sdíleném zařízení.
Aplikace napsané před vydáním sady MSAL SDK v režimu více účtů a je nutné je aktualizovat tak, aby podporovaly režim s jedním účtem, aby mohly běžet na zařízení se sdíleným režimem.
Podpora jednoho účtu i více účtů
Aplikaci můžete vytvořit tak, aby podporovala provoz na osobních zařízeních i sdílených zařízeních. Pokud vaše aplikace aktuálně podporuje více účtů a chcete podporovat režim sdíleného zařízení, přidejte podporu pro režim jednoho účtu.
Můžete také chtít, aby aplikace změnila své chování v závislosti na typu zařízení, na kterém běží. Slouží ISingleAccountPublicClientApplication.isSharedDevice()
k určení, kdy se má spustit v režimu s jedním účtem.
Existují dvě různá rozhraní, která představují typ zařízení, na které je vaše aplikace zapnutá. Když požádáte o instanci aplikace z objektu pro vytváření aplikací MSAL, zobrazí se automaticky správný objekt aplikace.
Následující objektový model znázorňuje typ objektu, který můžete obdržet a co to znamená v kontextu sdíleného zařízení:
Při získání PublicClientApplication
objektu musíte provést kontrolu typu a přetypovat na příslušné rozhraní. Následující kód zkontroluje režimy více účtů nebo režimy jednoho účtu a odpovídajícím způsobem přetypuje objekt aplikace:
private IPublicClientApplication mApplication;
// Running in personal-device mode?
if (mApplication instanceOf IMultipleAccountPublicClientApplication) {
IMultipleAccountPublicClientApplication multipleAccountApplication = (IMultipleAccountPublicClientApplication) mApplication;
...
// Running in shared-device mode?
} else if (mApplication instanceOf ISingleAccountPublicClientApplication) {
ISingleAccountPublicClientApplication singleAccountApplication = (ISingleAccountPublicClientApplication) mApplication;
...
}
Následující rozdíly platí v závislosti na tom, jestli je vaše aplikace spuštěná na sdíleném nebo osobním zařízení:
Zařízení sdíleného režimu | Osobní zařízení | |
---|---|---|
Obchodní vztahy | Jeden účet | Více účtů |
Přihlášení | Globální | Globální |
Odhlašovací | Globální | Každá aplikace může řídit, jestli je odhlášení místní k aplikaci. |
Podporované typy účtů | Pouze pracovní účty | Podporované osobní a pracovní účty |
Proč můžete chtít podporovat pouze režim jednoho účtu
Pokud píšete aplikaci, která se bude používat jenom pro pracovníky frontline pomocí sdíleného zařízení, doporučujeme, abyste aplikaci napsali, aby podporovala jenom režim jednoho účtu. To zahrnuje většinu aplikací, které jsou zaměřeny na úkoly, jako jsou aplikace lékařské záznamy, aplikace faktury a většina obchodních aplikací. Podpora režimu s jedním účtem zjednodušuje vývoj, protože nebudete muset implementovat další funkce, které jsou součástí aplikací s více účty.
Co se stane, když se režim zařízení změní
Pokud je vaše aplikace spuštěná v režimu více účtů a správce zařízení umístí do režimu sdíleného zařízení, všechny účty v zařízení se vymažou z aplikace a aplikace přejde do režimu s jedním účtem.
Aplikace Microsoftu, které podporují režim sdíleného zařízení
Tyto aplikace Microsoftu podporují režim sdíleného zařízení Microsoft Entra:
- Microsoft Teams
- Aplikace Microsoft Spravovaná domovská obrazovka pro Android Enterprise
- Microsoft Edge
- Outlook
- Microsoft Power Apps
- Microsoft Power BI Mobile
- Microsoft Viva Engage (dříve Yammer)
- Microsoft 365 (ve verzi Public Preview)
MdM třetích stran, které podporují režim sdíleného zařízení
Tato mobilní Správa zařízení třetích stran (MDM), která podporuje režim sdíleného zařízení Microsoft Entra:
Odhlášení ze sdíleného zařízení a celkový životní cyklus aplikace
Když se uživatel odhlásí, musíte podniknout kroky k ochraně osobních údajů a dat uživatele. Pokud například vytváříte aplikaci lékařských záznamů, je potřeba zajistit, aby se při odhlášení uživatele dříve zobrazené záznamy pacientů vymaže. Aplikace musí být připravená na ochranu osobních údajů a kontrolovat při každém vstupu do popředí.
Když vaše aplikace používá MSAL k odhlášení uživatele v aplikaci spuštěné na zařízení, které je ve sdíleném režimu, odeberou se z aplikace i ze zařízení přihlášený účet a tokeny uložené v mezipaměti.
Následující diagram znázorňuje celkový životní cyklus aplikace a běžné události, ke kterým může dojít při spuštění aplikace. Diagram se zabývá časem spuštění aktivity, přihlášením a odhlášením účtu a tím, jak se události, jako je pozastavení, obnovení a zastavení aktivity, vejdou.
Další kroky
Další informace o tom, jak spustit frontline workerovou aplikaci ve sdíleném režimu na zařízení s Androidem, najdete tady: