Vue d’ensemble du mode d’appareil partagé

  • Article

Le mode appareil partagé est une fonctionnalité de Microsoft Entra ID qui vous permet de créer et de déployer des applications qui prennent en charge les travailleurs de première ligne et les scénarios éducatifs qui nécessitent des appareils Android et iOS partagés.

Prise en charge de plusieurs utilisateurs sur des appareils conçus pour un seul utilisateur

Étant donné que les appareils mobiles qui exécutent iOS ou Android ont été conçus pour des utilisateurs individuels, la plupart des applications optimisent leur expérience d’utilisation pour un seul utilisateur. L’activation de l’authentification unique (SSO) entre les applications et le maintien de la connexion des utilisateurs sur leur appareil s’inscrivent dans le cadre de cette expérience optimisée. Lorsqu’un utilisateur supprime son compte d’une application, l’application ne considère généralement pas cela comme un événement lié à la sécurité. De nombreuses applications conservent même les informations d’identification d’un utilisateur pour permettre une connexion rapide. Il est possible que vous ayez déjà rencontré ce problème en supprimant une application de votre appareil mobile, puis en la réinstallant pour constater que vous êtes toujours connecté.

Authentification unique et authentification unique automatiques

Pour permettre aux employés d’une organisation d’utiliser ses applications sur un pool d’appareils partagés par ces employés, les développeurs doivent activer l’expérience inverse. Les employés doivent être en mesure de choisir un appareil dans le pool et d’effectuer un mouvement unique pour « se l’approprier » pendant toute leur journée de travail. À la fin de la journée, ils doivent être en mesure d’effectuer un autre geste pour se déconnecter globalement sur l’appareil et voir la suppression de toutes leurs informations personnelles et d’entreprise, afin de pouvoir retourner l’appareil dans le pool d’appareils. De plus, si un employé oublie de se déconnecter, l’appareil doit effectuer une déconnexion automatique à la fin de sa journée de travail et/ou après une période d’inactivité.

Microsoft Entra ID permet ces scénarios avec une fonctionnalité appelée mode appareil partagé.

Présentation du mode d’appareil partagé

Comme indiqué, le mode appareil partagé est une fonctionnalité Microsoft Entra ID qui vous permet d’effectuer les opérations suivantes :

  • Générer des applications qui prennent en charge les travailleurs de première ligne.
  • Déployez des appareils sur des employés de première ligne avec des applications qui prennent en charge le mode d’appareil partagé.

Générer des applications qui prennent en charge les travailleurs de première ligne

Vous pouvez prendre en charge les travailleurs de première ligne dans vos applications à l’aide de la bibliothèque d’authentification Microsoft (MSAL) et de l’application Microsoft Authenticator pour activer un état d’appareil appelé mode d’appareil partagé. Quand un appareil est en mode d’appareil partagé, Microsoft fournit à votre application des informations pour lui permettre de modifier son comportement en fonction de l’état de l’utilisateur sur l’appareil, en protégeant les données utilisateur.

Fonctionnalités prises en charge :

  • Connexion d’un utilisateur au niveau de l’appareil via n’importe quelle application prise en charge.
  • Déconnexion d’un utilisateur au niveau de l’appareil via n’importe quelle application prise en charge.
  • Requête de l’état de l’appareil pour déterminer si votre application se trouve sur un appareil qui est en mode d’appareil partagé.
  • Requête de l’état de l’appareil de l’utilisateur sur l’appareil pour déterminer si quelque chose a changé depuis la dernière utilisation de votre application.

La prise en charge du mode d’appareil partagé doit être considérée comme une mise à niveau des fonctionnalités pour votre application. Elle peut aider à augmenter son adoption dans des environnements où le même appareil est utilisé par plusieurs utilisateurs.

Vos utilisateurs dépendent de vous et vous devez leur garantir que leurs données ne seront pas divulguées à un autre utilisateur. Le mode de partage d’appareil fournit des signaux utiles pour indiquer à votre application qu’une modification que vous devez gérer s’est produite. Votre application est chargée de vérifier l’état de l’utilisateur sur l’appareil chaque fois que l’application est utilisée, en effaçant les données de l’utilisateur précédent. Cela inclut le rechargement en arrière-plan en mode multitâche. En cas de changement d’utilisateur, vous devez vous assurer que les données de l’utilisateur précédent sont effacées et que toutes les données en cache affichées dans votre application sont supprimées.

Pour prendre en charge tous les scénarios de prévention de la perte de données, nous vous recommandons également d’intégrer le KIT de développement logiciel (SDK) d’application Intune. À l’aide du Kit de développement logiciel (SDK) d’application Intune, vous pouvez autoriser votre application à prendre en charge Intune stratégies de protection des applications. En particulier, nous vous recommandons d’intégrer les fonctionnalités de réinitialisation sélective de Intune et de désinscrire l’utilisateur sur iOS lors d’une déconnexion.

Enfin, nous vous recommandons de toujours effectuer un processus de révision de sécurité approfondi après avoir ajouté la fonctionnalité de mode d’appareil partagé à votre application.

Pour obtenir des informations sur la façon de modifier vos applications pour prendre en charge le mode d’appareil partagé, consultez la section Contenu associé à la fin de cet article.

Déployer des appareils pour les travailleurs de première ligne et activer le mode d’appareil partagé

Une fois que vos applications prennent en charge le mode d’appareil partagé et incluent les données et les modifications de sécurité requises, vous pouvez les publier comme étant utilisables par les travailleurs de première ligne.

Les administrateurs d’appareils d’une organisation peuvent déployer leurs appareils et vos applications dans leurs magasins et lieux de travail via une solution de gestion des appareils mobiles (MDM) comme Microsoft Intune. Une partie du processus de configuration consiste à marquer l’appareil en tant qu’appareil partagé. Les administrateurs configurent le mode d’appareil partagé en déployant l’application Microsoft Authenticator et en définissant le mode d’appareil partagé par le biais des paramètres de configuration. Une fois ces étapes effectuées, toutes les applications qui prennent en charge le mode d’appareil partagé utilisent l’application Microsoft Authenticator pour gérer son état d’utilisateur et fournir des fonctionnalités de sécurité pour l’appareil et l’organisation.

Utilisez des stratégies de protection des applications pour fournir une protection contre la perte de données entre les utilisateurs.

Pour les fonctionnalités de protection des données et le mode d’appareil partagé, la solution de protection des données prise en charge par Microsoft pour les applications Microsoft 365 sur Android et iOS est Stratégies de protection des applications Microsoft Intune. Pour plus d’informations sur les stratégies, consultez Vue d’ensemble des stratégies Protection d'applications - Microsoft Intune | Microsoft Learn.

Lors de la configuration de stratégies Protection d'applications pour les appareils partagés, nous vous recommandons d’utiliser une protection des données améliorée de niveau 2 pour l’entreprise. Avec la protection des données de niveau 2, vous pouvez restreindre les scénarios de transfert de données qui peuvent entraîner le déplacement de données vers des parties de l’appareil qui ne sont pas effacées avec le mode appareil partagé.

Contenu connexe

Nous prenons en charge les plateformes iOS et Android pour le mode d’appareil partagé. Pour plus d'informations, consultez les pages suivantes :