Introducción al modo de dispositivo compartido

  • Artículo

El modo de dispositivo compartido es una característica de Microsoft Entra ID que permite compilar e implementar aplicaciones que admitan trabajos de primera línea y escenarios educativos que requieran dispositivos Android e iOS compartidos.

Compatibilidad con varios usuarios en dispositivos diseñados para un usuario

Dado que los dispositivos móviles que ejecutan iOS o Android se diseñaron para usuarios individuales, la mayoría de las aplicaciones optimizan su experiencia para su uso por parte de un solo usuario. Parte de esta experiencia optimizada significa habilitar el inicio de sesión único (SSO) entre aplicaciones y mantener a los usuarios con sesión iniciada en su dispositivo. Cuando un usuario elimina su cuenta de una aplicación, normalmente la aplicación no lo considera un evento relacionado con la seguridad. Muchas aplicaciones incluso conservan las credenciales de un usuario para el inicio de sesión rápido. Es posible que haya experimentado esto usted mismo cuando haya eliminado una aplicación del dispositivo móvil y, a continuación, lo vuelva a instalar, solo para detectar que todavía ha iniciado sesión.

Inicio de sesión único y cierre de sesión único automáticos

Para permitir que los empleados de una organización usen sus aplicaciones en un grupo de dispositivos compartidos por dichos empleados, los desarrolladores deben habilitar la experiencia opuesta. Los empleados deben poder tomar un dispositivo del grupo y realizar un único gesto para "hacerlo suyo" mientras dure el turno. Al final de su turno, deberían poder realizar otro gesto para cerrar la sesión globalmente en el dispositivo, con la información personal y de la empresa eliminadas para que puedan devolverlo al grupo de dispositivos. Además, si un empleado olvida cerrar la sesión, el dispositivo debe cerrar sesión automáticamente al final de su turno y/o después de un período de inactividad.

Microsoft Entra ID habilita estos escenarios con una característica llamada Modo de dispositivo compartido.

Presentación del modo de dispositivo compartido

Tal como se mencionó antes, el modo de dispositivo compartido es una característica de Microsoft Entra ID que le permite hacer lo siguiente:

  • Creación de aplicaciones que admiten trabajadores de primera línea.
  • Implemente dispositivos en los trabajos de primera línea con aplicaciones que admiten el modo de dispositivo compartido.

Creación de aplicaciones que admiten trabajadores de primera línea

Puede admitir trabajadores de primera línea en sus aplicaciones mediante el uso de la biblioteca de autenticación de Microsoft (MSAL) y la aplicación Microsoft Authenticator para habilitar un estado del dispositivo llamado modo de dispositivo compartido. Cuando un dispositivo está en modo de dispositivo compartido, Microsoft proporciona información a la aplicación para que pueda modificar el comportamiento en función del estado del usuario en el dispositivo, protegiendo los datos de usuario.

Las características admitidas son:

  • Inicio de sesión de un usuario en todo el dispositivo en cualquier aplicación compatible.
  • Cierre de sesión de un usuario en todo el dispositivo en cualquier aplicación compatible.
  • Consulta del estado del dispositivo para determinar si la aplicación está en un dispositivo que a su vez está en modo de dispositivo compartido.
  • Consulta del estado del dispositivo del usuario en el dispositivo para determinar si ha cambiado algo desde la última vez que se usó la aplicación.

La compatibilidad con el modo de dispositivo compartido debe considerarse una actualización de características para la aplicación y puede ayudar a aumentar su adopción en entornos donde se usa el mismo dispositivo entre varios usuarios.

Los usuarios dependen de usted para asegurarse de que sus datos no se filtran a otro usuario. El modo de dispositivo compartido proporciona señales útiles para indicar a la aplicación que se ha producido un cambio que debe administrar. La aplicación es responsable de comprobar el estado del usuario en el dispositivo cada vez que se usa la aplicación, eliminando los datos del usuario anterior. Esto incluye cuando se vuelve a cargar desde segundo plano en modo multitarea. En un cambio de usuario, debe asegurarse de que se eliminan los datos del usuario anterior y se eliminan los datos almacenados en caché que se muestran en la aplicación.

Para admitir todos los escenarios de prevención de pérdida de datos, también se recomienda realizar la integración con Intune App SDK. Mediante Intune App SDK, puede permitir que la aplicación admita directivas de protección de aplicaciones de Intune. En concreto, se recomienda realizar la integración con las funcionalidades de borrado selectivo y anulación del registro del usuario en iOS de Intune durante un cierre de sesión.

Por último, se recomienda realizar siempre un proceso de revisión de seguridad exhaustivo después de agregar la funcionalidad de modo de dispositivo compartido a la aplicación.

Para obtener más información sobre cómo modificar las aplicaciones para admitir el modo de dispositivo compartido, consulte la sección Contenido relacionado al final de este artículo.

Implementación de dispositivos para trabajadores de primera línea y activación del modo de dispositivo compartido

Una vez que las aplicaciones admitan el modo de dispositivo compartido e incluyan los datos necesarios y los cambios de seguridad, puede anunciarlas como aptas para su uso por trabajadores de primera línea.

Los administradores de dispositivos de una organización pueden implementar sus dispositivos y sus aplicaciones en sus tiendas y lugares de trabajo mediante una solución de administración de dispositivos móviles (MDM) como Microsoft Intune. Parte del proceso de aprovisionamiento consiste en marcar el dispositivo como dispositivo compartido. Los administradores configuran el modo de dispositivo compartido mediante la implementación de la aplicación Microsoft Authenticator y estableciendo el modo de dispositivo compartido en los parámetros de configuración. Tras completar estos pasos, todas las aplicaciones que admiten el modo de dispositivo compartido usarán la aplicación Microsoft Authenticator para administrar su estado de usuario y proporcionarán características de seguridad para el dispositivo y la organización.

Use directivas de protección de aplicaciones para ofrecer la prevención de pérdida de datos entre los usuarios.

En el caso de las funcionalidades de protección de datos en combinación con el modo de dispositivo compartido, la solución de protección de datos de Microsoft compatible para aplicaciones de Microsoft 365 en Android e iOS son las directivas de protección de aplicaciones de Microsoft Intune. Para obtener más información sobre las directivas, consulte Introducción a las directivas de protección de aplicaciones: Microsoft Intune | Microsoft Learn.

Al configurar directivas de protección de aplicaciones para dispositivos compartidos, se recomienda usar la protección de datos mejorada empresarial de nivel 2. Con la protección de datos de nivel 2, puede restringir los escenarios de transferencia de datos que pueden hacer que los datos se muevan a partes del dispositivo que no estén borradas con el modo de dispositivo compartido.

Contenido relacionado

Se admiten las plataformas iOS y Android para el modo de dispositivo compartido. Para más información, consulte: