A megosztott eszköz mód áttekintése

  • Cikk

A megosztott eszköz mód a Microsoft Entra ID egyik funkciója, amellyel olyan alkalmazásokat hozhat létre és helyezhet üzembe, amelyek támogatják a megosztott Android- és iOS-eszközöket igénylő előtér-feldolgozókat és oktatási forgatókönyveket.

Több felhasználó támogatása egy felhasználó számára tervezett eszközökön

Mivel az iOS vagy Android rendszerű mobileszközöket egyetlen felhasználó számára tervezték, a legtöbb alkalmazás egyetlen felhasználó számára optimalizálja a felhasználói élményt. Ennek az optimalizált felületnek a része az egyszeri bejelentkezés (SSO) engedélyezése az alkalmazások között, és a felhasználók bejelentkezve maradnak az eszközükön. Amikor egy felhasználó eltávolítja a fiókját egy alkalmazásból, az alkalmazás általában nem tekinti biztonsági eseménynek. Számos alkalmazás még a felhasználók hitelesítő adatait is megőrzi a gyors bejelentkezéshez. Ezt saját maga is tapasztalhatta, amikor törölt egy alkalmazást a mobileszközéről, majd újratelepítette, csak azért, hogy felfedezhesse, hogy még mindig bejelentkezett.

Automatikus egyszeri bejelentkezés és egyszeri kijelentkezés

Ahhoz, hogy a szervezet alkalmazottai az alkalmazottak által megosztott eszközök készletében használhassák az alkalmazásokat, a fejlesztőknek az ellenkező élményt kell engedélyeznie. Az alkalmazottaknak képesnek kell lenniük arra, hogy kiválanak egy eszközt a készletből, és egyetlen kézmozdulatot hajtsanak végre, hogy "az övék legyen" a műszak során. A műszak végén képesnek kell lenniük arra, hogy egy újabb kézmozdulatot hajtsanak végre, hogy globálisan kijelentkezjenek az eszközön, és minden személyes és céges információjukat eltávolítsák, hogy vissza tudják adni őket az eszközkészletbe. Továbbá, ha egy alkalmazott elfelejt kijelentkezni, az eszközt automatikusan ki kell jelentkeztetni a műszak végén és/vagy egy inaktivitási időszak után.

A Microsoft Entra ID lehetővé teszi ezeket a forgatókönyveket egy megosztott eszköz mód nevű funkcióval.

A megosztott eszköz mód bemutatása

Mint említettük, a megosztott eszköz mód a Microsoft Entra ID egyik funkciója, amely lehetővé teszi a következőket:

  • Az előtérbeli feldolgozókat támogató alkalmazások létrehozása.
  • Helyezzen üzembe eszközöket az előtérbeli feldolgozók számára a megosztott eszköz módot támogató alkalmazásokkal.

Előtérbeli feldolgozókat támogató alkalmazások létrehozása

Az alkalmazások előtérbeli feldolgozói a Microsoft Authentication Library (MSAL) és a Microsoft Authenticator alkalmazással támogathatók a megosztott eszközmód nevű eszközállapot engedélyezéséhez. Ha egy eszköz megosztott eszköz módban van, a Microsoft olyan információkat biztosít az alkalmazásnak, amelyek lehetővé teszik, hogy a felhasználó állapota alapján módosítsa a viselkedését az eszközön, így védve a felhasználói adatokat.

A támogatott funkciók a következők:

  • Jelentkezzen be a felhasználó eszközére bármilyen támogatott alkalmazáson keresztül.
  • Jelöljön ki egy felhasználót az eszköz egészére bármely támogatott alkalmazáson keresztül.
  • Az eszköz állapotának lekérdezésével megállapíthatja, hogy az alkalmazás megosztott eszköz módban lévő eszközön van-e.
  • Az eszközön lévő felhasználó eszközállapotának lekérdezésével állapítsa meg, hogy változott-e valami az alkalmazás legutóbbi használata óta.

A megosztott eszköz mód támogatása az alkalmazás funkciófrissítésének minősül, és segíthet növelni annak bevezetését olyan környezetekben, ahol ugyanazt az eszközt több felhasználó használja.

A felhasználók öntől függenek, hogy adataik ne szivárogjanak ki egy másik felhasználó számára. Az Eszköz mód megosztása hasznos jeleket biztosít az alkalmazás számára, hogy változás történt, amelyet kezelnie kell. Az alkalmazás felelős a felhasználó állapotának ellenőrzéséért az eszközön minden alkalommal, amikor az alkalmazást használják, és törli az előző felhasználó adatait. Ebbe beletartozik az is, ha a rendszer a háttérből tölti be a többfeladatos feladatokat. Felhasználói módosítás esetén gondoskodnia kell arról, hogy az előző felhasználó adatai is törlődjenek, és hogy az alkalmazásban megjelenített gyorsítótárazott adatok törlődjenek.

Az adatveszteség-megelőzési forgatókönyvek támogatásához azt is javasoljuk, hogy integráljon az Intune App SDK-val. Az Intune App SDK használatával engedélyezheti, hogy az alkalmazás támogassa az Intune alkalmazásvédelmi szabályzatait. Különösen azt javasoljuk, hogy integráljon az Intune szelektív törlési képességeivel, és törölje a felhasználó regisztrációját az iOS-en a kijelentkezés során.

Végül azt javasoljuk, hogy mindig végezzen alapos biztonsági felülvizsgálatot, miután megosztott eszköz módú képességet adott hozzá az alkalmazáshoz.

A megosztott eszköz mód támogatására szolgáló alkalmazások módosításáról a cikk végén, a Kapcsolódó tartalom szakaszban talál további információt.

Eszközök üzembe helyezése az előtérbeli feldolgozók számára, és a megosztott eszköz mód bekapcsolása

Ha az alkalmazások támogatják a megosztott eszköz módot, és tartalmazzák a szükséges adatokat és biztonsági módosításokat, meghirdetheti őket az előtérbeli dolgozók számára használhatóként.

A szervezet eszközgazdái egy mobileszköz-kezelési (MDM-) megoldáson keresztül, például a Microsoft Intune-on keresztül helyezhetik üzembe eszközeiket és alkalmazásaikat az üzleteikben és a munkahelyükön. A kiépítési folyamat része az eszköz megjelölése megosztott eszközként. Rendszergazda istratorok a megosztott eszköz üzemmódot a A Microsoft Authenticator alkalmazás és a megosztott eszköz mód beállítása konfigurációs paraméterekkel. A lépések elvégzése után a megosztott eszköz módot támogató összes alkalmazás a Microsoft Authenticator alkalmazást fogja használni a felhasználói állapot kezeléséhez, valamint az eszköz és a szervezet biztonsági funkcióinak biztosításához.

Az alkalmazásvédelmi szabályzatok használatával adatveszteség-megelőzést biztosíthat a felhasználók között.

Az adatvédelmi képességek és a megosztott eszköz mód érdekében a Microsoft támogatott adatvédelmi megoldása a Microsoft 365-alkalmazásokhoz Androidon és iOS rendszeren a Microsoft Intune alkalmazásvédelmi szabályzatai. További információ a szabályzatokról: Alkalmazásvédelem szabályzatok áttekintése – Microsoft Intune | Microsoft Learn.

A megosztott eszközökre vonatkozó Alkalmazásvédelem szabályzatok beállításakor a 2. szintű nagyvállalati szintű fokozott adatvédelem használatát javasoljuk. A 2. szintű adatvédelemmel korlátozhatja az adatátviteli forgatókönyveket, amelyek miatt az adatok az eszköz azon részeire kerülnek, amelyek nem törlődnek megosztott eszköz móddal.

Kapcsolódó tartalom

Támogatjuk az iOS- és Android-platformokat a megosztott eszköz módhoz. További információkért lásd: