Panoramica della modalità dispositivo condiviso
La modalità dispositivo condiviso è una funzionalità di Microsoft Entra ID che consente di compilare e distribuire applicazioni che supportano i lavoratori sul campo e gli scenari didattici che richiedono dispositivi Android e iOS condivisi.
Supporto di più utenti nei dispositivi progettati per un utente
Poiché i dispositivi mobili che eseguono iOS o Android sono stati progettati per utenti singoli, la maggior parte delle applicazioni ottimizza l'esperienza per l'uso da parte di un singolo utente. Parte di questa esperienza ottimizzata significa abilitare l'accesso Single Sign-On (SSO) tra applicazioni e mantenere gli utenti connessi nel dispositivo. Quando un utente rimuove l'account da un'applicazione, l'app in genere non lo considera un evento correlato alla sicurezza. Molte app mantengono anche le credenziali di un utente per l'accesso rapido. È possibile che si sia verificato questo problema quando è stata eliminata un'applicazione dal dispositivo mobile e quindi reinstallata, solo per scoprire di aver ancora eseguito l'accesso.
Accesso Single Sign-In automatico e Single Sign-Out
Per consentire ai dipendenti di un'organizzazione di usare le app in un pool di dispositivi condivisi da tali dipendenti, gli sviluppatori devono abilitare l'esperienza opposta. I dipendenti devono essere in grado di selezionare un dispositivo dal pool ed eseguire un singolo gesto per "renderlo loro" durante il turno. Al termine del turno, dovrebbe essere in grado di eseguire un altro gesto per disconnettersi a livello globale nel dispositivo, con tutte le informazioni personali e aziendali rimosse in modo da poterlo restituire al pool di dispositivi. Inoltre, se un dipendente dimentica di disconnettersi, il dispositivo deve essere disconnesso automaticamente alla fine del turno e/o dopo un periodo di inattività.
Microsoft Entra ID abilita questi scenari con una funzionalità denominata modalità dispositivo condiviso.
Introduzione alla modalità dispositivo condiviso
Come accennato, la modalità dispositivo condiviso è una funzionalità di Microsoft Entra ID che consente di:
- Creare applicazioni che supportano i ruoli di lavoro sul campo.
- Distribuire i dispositivi ai ruoli di lavoro sul campo con app che supportano la modalità dispositivo condiviso.
Creare applicazioni che supportano i ruoli di lavoro sul campo
È possibile supportare i ruoli di lavoro sul campo nelle applicazioni usando Microsoft Authentication Library (MSAL) e l'app Microsoft Authenticator per abilitare uno stato del dispositivo denominato modalità dispositivo condiviso. Quando un dispositivo è in modalità dispositivo condiviso, Microsoft fornisce all'applicazione informazioni per consentirne la modifica in base allo stato dell'utente nel dispositivo, proteggendo i dati utente.
Le funzionalità supportate sono:
- Accedere a un utente a livello di dispositivo tramite qualsiasi applicazione supportata.
- Disconnettere un utente a livello di dispositivo tramite qualsiasi applicazione supportata.
- Eseguire una query sullo stato del dispositivo per determinare se l'applicazione si trova in un dispositivo in modalità dispositivo condiviso.
- Eseguire una query sullo stato del dispositivo dell'utente nel dispositivo per determinare se qualcosa è cambiato dall'ultima volta in cui è stata usata l'applicazione.
Il supporto della modalità dispositivo condiviso deve essere considerato un aggiornamento delle funzionalità per l'applicazione e può contribuire ad aumentare l'adozione in ambienti in cui lo stesso dispositivo viene usato tra più utenti.
Gli utenti dipendono dall'utente per assicurarsi che i dati non vengano persi a un altro utente. La modalità dispositivo di condivisione fornisce segnali utili per indicare all'applicazione che si è verificata una modifica da gestire. L'applicazione è responsabile del controllo dello stato dell'utente nel dispositivo ogni volta che viene usata l'app, cancellando i dati dell'utente precedente. Ciò include se viene ricaricato in background in più attività. In caso di modifica dell'utente, è necessario assicurarsi che i dati dell'utente precedente vengano cancellati e che tutti i dati memorizzati nella cache visualizzati nell'applicazione vengano rimossi.
Per supportare tutti gli scenari di prevenzione della perdita dei dati, è consigliabile integrare anche Intune App SDK. Usando Intune App SDK, è possibile consentire all'applicazione di supportare i criteri di protezione delle app di Intune. In particolare, è consigliabile integrare con le funzionalità di cancellazione selettiva di Intune e annullare la registrazione dell'utente in iOS durante la disconnessazione.
Infine, ti consigliamo di eseguire sempre un processo di revisione della sicurezza approfondito dopo l'aggiunta della funzionalità modalità dispositivo condiviso all'app.
Per informazioni dettagliate su come modificare le applicazioni per supportare la modalità dispositivo condiviso, vedere la sezione Contenuto correlato alla fine di questo articolo.
Distribuire i dispositivi ai ruoli di lavoro sul campo e attivare la modalità dispositivo condiviso
Dopo che le applicazioni supportano la modalità dispositivo condiviso e includono i dati e le modifiche di sicurezza necessarie, è possibile annunciarle come utilizzabili dai ruoli di lavoro sul campo.
Gli amministratori di dispositivi di un'organizzazione sono in grado di distribuire i propri dispositivi e le applicazioni nei punti vendita e nelle aree di lavoro tramite una soluzione di gestione dei dispositivi mobili (MDM) come Microsoft Intune. Parte del processo di provisioning contrassegna il dispositivo come dispositivo condiviso. Amministrazione istrator configurare la modalità dispositivo condiviso distribuendoApp Microsoft Authenticator e impostazione della modalità dispositivo condiviso tramite parametri di configurazione. Al termine di questi passaggi, tutte le applicazioni che supportano la modalità dispositivo condiviso useranno l'applicazione Microsoft Authenticator per gestire lo stato utente e fornire funzionalità di sicurezza per il dispositivo e l'organizzazione.
Usare i criteri di protezione delle app per garantire la prevenzione della perdita dei dati tra gli utenti.
Per le funzionalità di protezione dei dati insieme alla modalità dispositivo condiviso, la soluzione di protezione dei dati supportata da Microsoft per le applicazioni Microsoft 365 in Android e iOS è Criteri di protezione delle applicazioni di Microsoft Intune. Per altre informazioni sui criteri, vedere panoramica dei criteri di Protezione di app - Microsoft Intune | Microsoft Learn.
Quando si configurano criteri di Protezione di app per i dispositivi condivisi, è consigliabile usare la protezione dei dati avanzata di livello 2 aziendale. Con la protezione dei dati di livello 2, è possibile limitare gli scenari di trasferimento dei dati che potrebbero causare lo spostamento dei dati in parti del dispositivo non cancellate con la modalità dispositivo condiviso.
Contenuto correlato
Sono supportate le piattaforme iOS e Android per la modalità dispositivo condiviso. Per altre informazioni, vedi: