共有デバイス モードの概要
共有デバイス モードは、Microsoft Entra ID の機能であり、Android および iOS の共有デバイスを必要とする現場担当者と教育シナリオをサポートするアプリケーションを構築して展開できます。
1 人のユーザー向けに設計されたデバイスでの複数ユーザーのサポート
iOS または Android が実行されているモバイル デバイスはシングル ユーザー向けに設計されているため、ほとんどのアプリケーションのエクスペリエンスは 1 人のユーザーによる使用に最適化されています。 この最適化されたエクスペリエンスには、複数のアプリケーション間でのシングル サインオン (SSO) の有効化や、ユーザーのデバイスへのサインイン状態の維持などが含まれます。 ユーザーが自分のアカウントをアプリケーションから削除する場合、通常、アプリではセキュリティ関連のイベントは考慮されません。 多くのアプリでは、簡単にサインインできるようにユーザーの資格情報が保持されることさえあります。 モバイル デバイスからアプリケーションを削除してから再インストールしたときに、まだサインインしていることに気付いた、という経験をしたことがあるかもしれません。
自動のシングル サインインとシングル サインアウト
組織の従業員が、従業員によって共有されるデバイスのプール全体でアプリを使用できるようにするには、開発者は反対のエクスペリエンスを有効にする必要があります。 従業員は、プールからデバイスを選択し、1 つのジェスチャを実行してシフト中にそのデバイスを "自分のものにする" ことができる必要があります。 シフトの終了時には、別のジェスチャを実行して、デバイスからグローバルにサインアウトし、個人情報と会社情報をすべて削除して、デバイス プールにデバイスを返却できる必要があります。 さらに、従業員がサインアウトを忘れた場合は、シフトの終了時、または非アクティブな期間の後に、デバイスが自動的にサインアウトされるようにする必要があります。
Microsoft Entra ID では、共有デバイス モードと呼ばれる機能により、これらのシナリオが実現できます。
共有デバイス モードの概要
前に説明したように、共有デバイス モードは、次のことを可能にする Microsoft Entra ID の機能です:
- 現場担当者をサポートするアプリケーションを構築する。
- 共有デバイス モードをサポートするアプリを含めて、現場担当者にデバイスを展開する。
現場担当者をサポートするアプリケーションを構築する
Microsoft 認証ライブラリ (MSAL) と Microsoft Authenticator アプリを使用して、"共有デバイス モード" と呼ばれるデバイスの状態を有効にすることにより、アプリケーションで現場担当者をサポートすることができます。 デバイスが共有デバイス モードになると、デバイスでのユーザーの状態に基づいてデバイスの動作を変更し、ユーザーのデータを保護できるようにするための情報が、Microsoft によってアプリケーションに提供されます。
サポートされている機能は次のとおりです。
- サポートされている任意のアプリケーションを介して、ユーザーをデバイス全体にサインインさせます。
- サポートされている任意のアプリケーションを介して、ユーザーをデバイス全体からサインアウトさせます。
- デバイスの状態を照会して、アプリケーションが共有デバイス モードのデバイス上にあるかどうかを判断します。
- デバイスでのユーザーのデバイス状態を照会して、アプリケーションが最後に使用されてから何かが変更されたかどうかを判断します。
共有デバイス モードのサポートは、アプリケーションの機能のアップグレードとして考える必要必要があります。また、同じデバイスが複数のユーザー間で使用される環境での導入の拡大に役立ちます。
ユーザーはデータが他のユーザーに漏洩することがないように、管理者に依存しています。 共有デバイス モードでは、管理する必要のある変更が発生したことをアプリケーションに示すのに役立つ信号が提供されます。 アプリケーションでは、アプリが使用されるたびにデバイス上のユーザーの状態を確認し、以前のユーザーのデータをクリアする必要があります。 これには、マルチタスクの実行中にバックグラウンドから再読み込みするかどうかを含みます。 ユーザーの変更時に、前のユーザーのデータがクリアされ、アプリケーションで表示されるキャッシュされたデータがすべて削除されるようにする必要があります。
すべてのデータ損失防止シナリオをサポートするために、Intune App SDK と統合することもお勧めします。 Intune App SDK を使用すると、アプリケーションで Intune アプリ保護ポリシーをサポートできるようになります。 特に、Intune の選択的ワイプ機能と統合し、サインアウト中に iOS でユーザーの登録を解除することをお勧めします。
最後に、アプリに共有デバイス モード機能を追加した後は必ず、完全なセキュリティ レビュー プロセスを実行することをお勧めします。
共有デバイス モードをサポートするようにアプリケーションを変更する方法の詳細については、この記事の最後にある「関連コンテンツ」セクションを参照してください。
現場担当者にデバイスを展開し、共有デバイス モードを有効にする
アプリケーションで共有デバイス モードがサポートされるようになり、必要なデータとセキュリティの変更が組み込まれたら、そのアプリケーションを現場担当者が使用できるようになったことを通知できます。
組織のデバイス管理者は、Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューションを使用して、デバイスとアプリケーションを店舗や職場に展開することができます。 プロビジョニング プロセスの一部として、デバイスを "共有デバイス" としてマークします。 管理者は、Microsoft Authenticator アプリを展開し、構成パラメーターを使用して共有デバイス モードを設定することにより、共有デバイス モードを構成します。 これらの手順を完了すると、共有デバイス モードをサポートするすべてのアプリケーションでは、Microsoft Authenticator アプリケーションを使用してユーザーの状態が管理され、デバイスと組織にセキュリティ機能が提供されるようになります。
アプリ保護ポリシーを使用してユーザー間のデータ損失防止を提供する。
共有デバイス モードとデータ保護機能を併用する場合、Android および iOS 上の Microsoft 365 アプリケーションでサポートされている、Microsoft のデータ保護ソリューションは、Microsoft Intune アプリケーション保護ポリシーです。 ポリシーの詳細については、アプリ保護ポリシーの概要 - Microsoft Intune | Microsoft Learnに関する記事を参照してください。
共有デバイス向けのアプリ保護ポリシーを設定する際は、レベル 2 のエンタープライズ拡張データ保護を使用することをお勧めします。 レベル 2 のデータ保護を使用すると、共有デバイス モードでクリアされていないデバイスの一部にデータが移動するおそれがあるデータ転送シナリオを制限できます。
関連するコンテンツ
共有デバイス モードでは、iOS および Android プラットフォームがサポートされています。 詳細については、次を参照してください。