A megosztott eszköz mód áttekintése

A megosztott eszköz mód (SDM) egy Microsoft Entra-azonosító funkció, amely lehetővé teszi a szervezetek számára, hogy iOS, iPadOS vagy Android rendszerű eszközt konfiguráljanak több alkalmazott közös használatára, ami gyakori gyakorlat az előtérbeli feldolgozói környezetekben. Az SDM használatával az alkalmazottak egyszeri bejelentkezéssel férhetnek hozzá adataikhoz az összes támogatott alkalmazásban anélkül, hogy más alkalmazottak adataihoz férnek hozzá. Amikor az alkalmazottak kijelentkeznek a műszak vagy a feladat elvégzése után, a rendszer automatikusan kijelentkezik az eszközről és az összes támogatott alkalmazásból, így az eszköz készen áll a következő felhasználóra.

Miért a megosztott eszköz mód?

Ha lehetővé szeretné tenni az alkalmazottak számára, hogy megosztott eszközökön használják a szervezet alkalmazásait, a fejlesztőknek egyszerűbbé és biztonságosabbá kell tenniük a felhasználói élményt. Az alkalmazottaknak képesnek kell lenniük arra, hogy kiválanak egy eszközt a megosztott készletből, és egyetlen kézmozdulattal jelentkezzenek be, így az eszköz "az övék" lesz a műszak során. A műszak végén az alkalmazottak egy másik kézmozdulatot is végrehajthatnak, hogy globálisan kijelentkezjenek az eszközről, mielőtt visszakerülnek a megosztott eszközkészletbe. A megosztott eszköz mód engedélyezése számos előnnyel jár, például:

• Egyszeri bejelentkezés: Lehetővé teszi, hogy a felhasználók bejelentkezhessenek a megosztott eszköz módot támogató alkalmazások egyikébe, és zökkenőmentes hitelesítést szerezzenek az összes többi SDM által támogatott alkalmazásban anélkül, hogy újra meg kellene adniuk a hitelesítő adataikat. A felhasználók mentesülnek az első futtatási felület (FRE) képernyői alól a megosztott eszközökön.
• Egyszeri kijelentkezés: Lehetővé teszi a felhasználók számára, hogy kijelentkezjenek az eszközről anélkül, hogy külön-külön kellene kijelentkezni az egyes támogatott SDM-alkalmazásokból. A kijelentkezés biztosítja a felhasználók számára, hogy adataik nem jelennek meg a későbbi eszközfelhasználók számára, feltéve, hogy az alkalmazások biztosítják a gyorsítótárazott felhasználói adatok eltávolítását.
• A feltételes hozzáférési szabályzatokon keresztüli biztonság támogatása: Lehetővé teszi a rendszergazdák számára, hogy meghatározott feltételes hozzáférési szabályzatokat célozhassanak meg a megosztott eszközökön, biztosítva, hogy az alkalmazottak csak akkor férjenek hozzá a vállalati adatokhoz, ha a megosztott eszközük megfelel a belső megfelelőségi szabványoknak.

Támogatott és nem támogatott forgatókönyvek

A megosztott eszköz mód funkció a következő forgatókönyveket támogatja:

• A felhasználó a Microsoft Entra ID hitelesítő adataival jelentkezik be egy Megosztott eszköz mód által támogatott alkalmazásba (üzletági alkalmazás, külső gyártótól származó indítóalkalmazás vagy Microsoft-alkalmazás) Egy Android- vagy iOS-/iPadOS-eszközön, és automatikusan bejelentkezik az eszközön található összes megosztott eszköz módú alkalmazásba.
• A felhasználó kijelentkezik egy támogatott megosztott eszköz módú alkalmazásból (üzletági, külső gyártótól származó indító vagy Microsoft-alkalmazás) androidos vagy iOS/iPadOS rendszerű eszközön, és ki van jelentkezve az eszközön található összes SDM-támogatott alkalmazásból.
• Ha egy rendszergazda olyan feltételes hozzáférési szabályzatot állít be, amely megköveteli, hogy az eszközök regisztrálva legyenek a mobileszköz-kezelésben (MDM) és megfelelőek legyenek, a felhasználó csak akkor tud bejelentkezni egy SDM által támogatott alkalmazásba, ha az eszköz megfelelő.

Feljegyzés

Ha egy felhasználó olyan alkalmazásba jelentkezik be, amely nem támogatja a megosztott eszköz módot, nem élvezheti az egyszeri bejelentkezés és az egyszeri kijelentkezés előnyeit.

Rendszergazdák és fejlesztők szerepkörei a megosztott eszköz mód implementálásában

A megosztott eszközmód funkció előnyeinek kihasználásához a felhőbeli eszközök rendszergazdái és az alkalmazásfejlesztők együttműködnek:

Az eszközgazdák úgy készítik elő a megosztani kívánt eszközöket, hogy manuálisan vagy mobileszköz-kezelési (MDM-) szolgáltatón, például a Microsoft Intune-on keresztül beállítják az eszközöket megosztott eszköz módban. Az előnyben részesített lehetőség az MDM használata, mivel az érintés nélküli üzembe helyezéssel lehetővé teszi az eszköz nagy léptékű, megosztott eszköz módban történő beállítását. Az MDM úgy van konfigurálva, hogy leküldje a Microsoft Authenticator alkalmazást az eszközre, és be van kapcsolva a megosztott eszköz mód. IOS-eszközökön az MDM a Megosztott eszköz módhoz szükséges Microsoft Enterprise SSO beépülő modult is engedélyezi.

Az alábbi útmutatók további részleteket nyújtanak arról, hogyan állíthat be eszközöket megosztott eszköz módban az Intune-on keresztül:

• Dedikált Android Enterprise-eszközök Intune-regisztrációjának beállítása
• Regisztrálás beállítása iOS- és iPadOS-eszközökhöz megosztott eszköz módban.

Az eszközöket megosztott eszköz módban is beállíthatja egy támogatott, harmadik féltől származó MDM használatával. Az Android megosztott eszközmódját támogató, harmadik féltől származó MDM-eknek a listáját a megosztott eszközmódot támogató külső MDM-ekben találja.

A manuális beállítás hasznos eszköz próbaprogramokhoz és kis léptékű üzemelő példányokhoz. Ehhez a felhőeszköz-rendszergazdai hozzáférés szükséges, és minden eszközön el kell végezni.

Az alkalmazásfejlesztők megosztott eszközmód-támogatást nyújtanak az egyfiókos nyilvános ügyfélalkalmazáshoz a Microsoft Authentication Library (MSAL) használatával. Az MSAL lehetővé teszi, hogy az alkalmazások az eszköz és a felhasználó állapotának jelzései alapján módosítsák a viselkedésüket. Az alkalmazás például minden alkalommal ellenőrzi a felhasználó állapotát az eszközön, amikor az alkalmazást használják, és törli az előző felhasználó adatait, ha a felhasználó megváltozott. Felhasználói módosítás esetén az alkalmazásnak gondoskodnia kell arról, hogy az előző felhasználó adatai is törlődjenek, és hogy az alkalmazásban megjelenített gyorsítótárazott adatok törlődjenek.

Az alkalmazásfejlesztők integrálhatók az Intune App SDK-val is az adatveszteség-megelőzési forgatókönyvek támogatásához, ami nagyon ajánlott. Az Intune App SDK lehetővé teszi a fejlesztők számára, hogy támogassák az Intune alkalmazásvédelmi szabályzatait az alkalmazásaikban. A Microsoft azt javasolja, hogy integrálja az Intune szelektív törlési funkcióit, és törölje a felhasználó regisztrációját az iOS-en a kijelentkezés során.

A megosztott eszköz mód támogatását az alkalmazás funkciófrissítésének kell tekinteni, és növelheti annak bevezetését olyan környezetekben, ahol ugyanazt az eszközt több felhasználó is megosztja.

Feljegyzés

A megosztott eszközmódot támogató Microsoft-alkalmazások esetében nem kell további módosításokat végeznie, kivéve, ha azokat megosztott eszköz módú eszközön telepíti.

Kapcsolódó tartalom

A Microsoft Entra ID támogatja a megosztott eszköz módot iOS- és Android-platformokon. További információk:

• Megosztott eszköz mód támogatása iOS-hez
• Megosztott eszköz mód támogatása Androidhoz