Übersicht über den Modus für gemeinsam genutzte Geräte

Der Modus für gemeinsam genutzte Geräte (SDM) ist eine Funktion von Microsoft Entra ID, die es Unternehmen ermöglicht, ein iOS-, iPadOS- oder Android-Gerät für die gemeinsame Nutzung durch mehrere Mitarbeitende zu konfigurieren - eine gängige Praxis in Frontline-Worker-Umgebungen. Mit SDM melden sich die Mitarbeitenden nur einmal an, um auf ihre Daten in allen unterstützten Anwendungen zuzugreifen, ohne auf die Daten anderer Mitarbeitenden zuzugreifen. Wenn sich Mitarbeitende nach Abschluss ihrer Schicht oder Aufgabe abmelden, werden sie automatisch vom Gerät und allen unterstützten Anwendungen abgemeldet, sodass das Gerät für die nächsten Benutzenden bereit ist.

Warum gemeinsam genutzer Gerätemodus?

Damit Mitarbeitende die Apps eines Unternehmens auf gemeinsam genutzten Geräten verwenden können, sollten die Fachkräfte für Entwicklung ein optimiertes und sicheres Benutzererlebnis ermöglichen. Die Mitarbeitenden sollten in der Lage sein, ein Gerät aus dem gemeinsamen Pool auszuwählen und sich mit einer einzigen Geste anzumelden, so dass das Gerät während ihrer Schicht „ihnen gehört“. Am Ende ihrer Schicht können sich die Mitarbeitenden mit einer weiteren Geste global von dem Gerät abmelden, bevor sie es in den gemeinsamen Gerätepool zurückgeben. Die Aktivierung des gemeinsamen Gerätemodus bietet mehrere Vorteile, unter anderem:

• Single Sign-on: Benutzende können sich bei einer der Anwendungen anmelden, die den gemeinsamen Gerätemodus unterstützen, und erhalten eine nahtlose Authentifizierung bei allen anderen SDM-unterstützten Anwendungen, ohne ihre Anmeldedaten erneut eingeben zu müssen. Ausschluss von Benutzenden von First Run Experience (FRE) Bildschirmen auf gemeinsam genutzten Geräten.
• Single Sign Out: Ermöglicht es Benutzenden, sich vom Gerät abzumelden, ohne sich einzeln von jeder SDM-unterstützten Anwendung abmelden zu müssen. Durch die Abmeldung wird sichergestellt, dass die Daten nicht für nachfolgende Benutzende des Geräts sichtbar sind, sofern die Anwendungen dafür sorgen, dass alle zwischengespeicherten Benutzerdaten gelöscht werden.
• Sicherheit durch Unterstützung von Richtlinien für den bedingten Zugriff: Bieten Sie Administrierenden die Möglichkeit, spezifische Richtlinien für den bedingten Zugriff auf gemeinsam genutzte Geräte festzulegen, um sicherzustellen, dass Mitarbeitende nur dann auf Unternehmensdaten zugreifen können, wenn ihr gemeinsam genutztes Gerät die internen Compliance-Standards erfüllt.

Unterstützte und nicht unterstützte Szenarien

Die Funktion Modus gemeinsam genutzte Geräte unterstützt folgende Szenarien:

• Ein Benutzender meldet sich auf einem Android- oder iOS/iPadOS-Gerät mit Microsoft Entra ID-Anmeldeinformationen bei einer Anwendung an, die den Shared Device Mode unterstützt (Line of Business-App, Launcher-App eines Drittanbieters oder Microsoft-App), und ist automatisch bei allen Apps auf dem Gerät angemeldet, die den Modus gemeinsam genutzte Geräte unterstützen.
• Ein Benutzender meldet sich auf einem Android- oder iOS/iPadOS-Gerät von einer Anwendung ab, die den Modus gemeinsam genutzte Geräte unterstützt (Branche, Launcher eines Drittanbieters oder Microsoft-App) und wird von allen SDM-unterstützten Apps auf dem Gerät abgemeldet.
• Wenn ein Administrierender eine Richtlinie für den bedingten Zugriff mit der Zuweisung einrichtet, die voraussetzt, dass die Geräte in der Verwaltung mobiler Geräte (MDM) registriert und konform sind, kann sich der Benutzende nur bei einer SDM-unterstützten Anwendung anmelden, wenn das Gerät konform ist.

Hinweis

Wenn sich ein Benutzender bei einer Anwendung anmeldet, die den Modus für gemeinsam genutzte Geräte nicht unterstützt, kann er die Vorteile von Single Sign-on und Single Sign-out nicht nutzen.

Rollen von Administratrierenden und Fachkräften für Entwiklung bei der Implementierung des Modus für gemeinsam genutzte Geräte

Um die Vorteile der Funktion des gemeinsamen Gerätemodus zu nutzen, arbeiten Cloud-Geräteadministrierende und Fachkräfte für Entwicklung von Anwendungen zusammen:

Geräteadministrierende bereiten die gemeinsam zu nutzenden Geräte vor, indem sie die Geräte manuell oder über einen Anbieter für die Verwaltung mobiler Geräte (MDM) wie Microsoft Intune im Modus für gemeinsam genutzte Geräte einrichten. Die Voreinstellung ist die Verwendung eines MDM, da es die Einrichtung des Geräts im Modus für gemeinsam genutzte Geräte im großen Maßstab über Zero-Touch-Bereitstellung ermöglicht. Das MDM ist so konfiguriert, dass die Microsoft Authenticator-App auf das Gerät gepusht wird, wobei der Modus für gemeinsam genutzte Geräte aktiviert ist. Auf iOS-Geräten ermöglicht MDM auch das Microsoft Enterprise-SSO-Plug-In, das für den Modus für gemeinsam genutzte Geräte erforderlich ist.

Die folgenden Leitfäden enthalten weitere Details zum Einrichten von Geräten im gemeinsam genutzten Gerätemodus über Intune:

• Einrichten der Intune-Registrierung von dedizierten Android Enterprise-Geräten
• Registrierung für iOS- und iPadOS-Geräte im gemeinsamen Gerätemodus einrichten.

Sie können Geräte auch im Modus für gemeinsam genutzte Geräte mithilfe eines unterstützten MDM-Anbieters einrichten. Eine Liste von Drittanbieter-MDMs, die den Modus für gemeinsam genutzte Geräte unter Android unterstützen, finden Sie unter MDMs von Drittanbietern, die den Modus für gemeinsam genutzte Geräte unterstützen.

Die manuelle Einrichtung ist ein nützliches Instrument für Pilotprogramme und kleinere Einsätze. Sie erfordert den Zugriff des Cloud-Geräteadministrierenden und muss auf jedem Gerät durchgeführt werden.

Anwendungsentwickelnde fügen der Einzelkonto-Anwendung für öffentliche Clients unter Verwendung der Microsoft Authentication Library (MSAL) Unterstützung für den Modus gemeinsam genutzter Geräte hinzu. MSAL ermöglicht es den Apps, ihr Verhalten basierend auf den Signalen im Zustand des Geräts und des Benutzenden auf dem Gerät zu ändern. So prüft die Anwendung beispielsweise bei jeder Nutzung den Status des Benutzenden auf dem Gerät und löscht die Daten des vorherigen Benutzenden, wenn dieser gewechselt hat. Bei einem Benutzerwechsel sollte die Anwendung sicherstellen, dass sowohl die Daten des vorherigen Benutzenden gelöscht als auch alle in der Anwendung angezeigten Cache-Daten entfernt werden.

Anwendungsentwickelnde können auch das Intune App SDK integrieren, um alle Szenarien zur Vermeidung von Datenverlusten zu unterstützen, was sehr zu empfehlen ist. Mit dem Intune App SDK können Fachkräfte für Entwicklung Intune-App-Schutz Richtlinien in ihren Anwendungen unterstützen. Microsoft empfiehlt die Integration mit den selektiven Löschfunktionen von Intune und die Abmeldung des Benutzenden auf iOS während der Abmeldung.

Die Unterstützung des Modus für gemeinsam genutzte Geräte sollte als Funktionserweiterung für die Anwendung betrachtet werden und kann dazu beitragen, die Akzeptanz in Umgebungen zu erhöhen, in denen ein und dasselbe Gerät von mehreren Benutzenden genutzt wird.

Hinweis

Für Microsoft-Anwendungen, die den gemeinsamen Gerätemodus unterstützen, müssen Sie keine weiteren Änderungen vornehmen, außer sie auf einem Gerät zu installieren, das den gemeinsamen Gerätemodus unterstützt.

Zugehöriger Inhalt

Microsoft Entra ID unterstützt den Modus für gemeinsam genutzte Geräte auf iOS- und Android-Plattformen. Weitere Informationen finden Sie unter:

• Unterstützen des Modus für gemeinsam genutzte Geräte für iOS
• Unterstützen des Modus für gemeinsam genutzte Geräte für Android