Overzicht van de modus voor gedeelde apparaten

Shared Device Mode (SDM) is een Microsoft Entra ID-functie waarmee organisaties een iOS-, iPadOS- of Android-apparaat kunnen configureren voor gedeeld gebruik tussen meerdere werknemers, een veelvoorkomende procedure in frontlinewerkomgevingen. Met SDM melden werknemers zich eenmaal aan om toegang te krijgen tot hun gegevens in alle ondersteunde toepassingen, zonder toegang te krijgen tot de gegevens van andere werknemers. Wanneer werknemers zich afmelden na het voltooien van hun dienst of taak, worden ze automatisch afgemeld bij het apparaat en alle ondersteunde toepassingen, zodat het apparaat klaar is voor de volgende gebruiker.

Waarom modus voor gedeeld apparaat?

Om werknemers in staat te stellen de apps van een organisatie te gebruiken op gedeelde apparaten, moeten ontwikkelaars een gestroomlijnde en veilige gebruikerservaring vergemakkelijken. Werknemers moeten een apparaat uit de gedeelde groep kunnen kiezen en zich met één gebaar kunnen aanmelden, waardoor het apparaat 'hun' tijdens hun dienst is. Aan het einde van hun dienst kunnen werknemers een ander gebaar uitvoeren om zich globaal af te melden bij het apparaat voordat ze terugkeren naar de gedeelde apparaatgroep. Het inschakelen van de modus Gedeeld apparaat biedt verschillende voordelen, waaronder:

• Eenmalige aanmelding: gebruikers toestaan zich aan te melden bij een van de apps die ondersteuning bieden voor de modus gedeelde apparaten en naadloze verificatie te krijgen voor alle andere door SDM ondersteunde apps zonder dat ze hun referenties opnieuw hoeven in te voeren. Gebruikers uitsluiten van FRE-schermen (First Run Experience) op gedeelde apparaten.
• Eenmalige afmelding: Gebruikers in staat stellen zich af te melden bij het apparaat zonder dat ze zich afzonderlijk hoeven af te melden bij elke door SDM ondersteunde toepassing. Als u zich afmeldt, kunnen gebruikers ervoor zorgen dat hun gegevens niet worden weergegeven aan volgende apparaatgebruikers, mits apps ervoor zorgen dat alle gebruikersgegevens in de cache worden opgeschoond.
• Ondersteuning voor beveiliging via beleid voor voorwaardelijke toegang: beheerders de mogelijkheid bieden om specifiek beleid voor voorwaardelijke toegang op gedeelde apparaten te richten, zodat werknemers alleen toegang hebben tot bedrijfsgegevens wanneer hun gedeelde apparaat voldoet aan de interne nalevingsstandaarden.

Ondersteunde en niet-ondersteunde scenario's

De functie Modus voor gedeelde apparaten ondersteunt de volgende scenario's:

• Een gebruiker meldt zich aan bij een door gedeeld apparaat ondersteunde toepassing (Line-of-Business-app, startprogramma-app van derden of Microsoft-app) op een Android- of iOS-/iPadOS-apparaat met behulp van Microsoft Entra ID-referenties en wordt automatisch aangemeld bij alle apps die door de modus Gedeeld apparaat worden ondersteund op het apparaat.
• Een gebruiker meldt zich af bij een door gedeelde apparaatmodus ondersteunde toepassing (Line-Of-Business, startprogramma van derden of Microsoft-app) op een Android- of iOS-/iPadOS-apparaat en wordt afgemeld bij alle door SDM ondersteunde apps op het apparaat.
• Als een beheerder een beleid voor voorwaardelijke toegang instelt met de toekenning waarvoor apparaten moeten worden ingeschreven bij Mobile Device Management (MDM) en compatibel is, kan de gebruiker zich alleen aanmelden bij een door SDM ondersteunde toepassing als het apparaat compatibel is.

Notitie

Als een gebruiker zich aanmeldt bij een toepassing die geen ondersteuning biedt voor de modus gedeeld apparaat, krijgt deze gebruiker geen voordelen van eenmalige aanmelding en eenmalige afmelding.

Rollen van beheerders en ontwikkelaars bij het implementeren van de modus Gedeeld apparaat

Als u wilt profiteren van de functie voor de modus gedeeld apparaat, werken cloudapparaatbeheerders en toepassingsontwikkelaars samen:

Apparaatbeheerders bereiden de apparaten voor die moeten worden gedeeld door de apparaten handmatig in te stellen in de modus gedeeld apparaat of via een MDM-provider (Mobile Device Management), zoals Microsoft Intune. De voorkeursoptie is het gebruik van een MDM, omdat het apparaat is ingesteld in de modus gedeeld apparaat op schaal via zero-touch-inrichting. De MDM is geconfigureerd om de Microsoft Authenticator-app naar het apparaat te pushen met de modus gedeeld apparaat ingeschakeld. Op iOS-apparaten schakelt MDM ook de Microsoft Enterprise SSO-invoegtoepassing in die is vereist voor de modus gedeeld apparaat.

In de volgende handleidingen vindt u meer informatie over het instellen van apparaten in de modus gedeeld apparaat via Intune:

• Intune-inschrijving van toegewezen Android Enterprise-apparaten instellen
• Inschrijving instellen voor iOS- en iPadOS-apparaten in de modus gedeeld apparaat.

U kunt apparaten ook instellen in de modus gedeeld apparaat met behulp van een ondersteunde MDM van derden. Raadpleeg MDM's van derden die ondersteuning bieden voor de modus gedeeld apparaat op Android voor een lijst met MDM's van derden die ondersteuning bieden voor de modus voor gedeelde apparaten.

Handmatige installatie is een handig hulpmiddel voor testprogramma's en kleinschalige implementaties. Hiervoor is de toegang van cloudapparaatbeheerder vereist en moet op elk apparaat worden uitgevoerd.

Toepassingsontwikkelaars voegen ondersteuning voor gedeelde apparaatmodus toe aan een openbare clienttoepassing met één account met behulp van de Microsoft Authentication Library (MSAL). MET MSAL kunnen de apps hun gedrag wijzigen op basis van de signalen van de status van het apparaat en de gebruiker op het apparaat. De toepassing controleert bijvoorbeeld de status van de gebruiker op het apparaat telkens wanneer de toepassing wordt gebruikt en wist de gegevens van de vorige gebruiker als de gebruiker is gewijzigd. Bij een wijziging van een gebruiker moet de toepassing ervoor zorgen dat zowel de gegevens van de vorige gebruiker worden gewist als dat alle gegevens in de cache die in de toepassing worden weergegeven, worden verwijderd.

Ontwikkelaars van toepassingen kunnen ook integreren met de Intune App SDK ter ondersteuning van alle scenario's voor preventie van gegevensverlies. Dit wordt ten zeerste aanbevolen. Met de Intune App SDK kunnen ontwikkelaars Intune-app-beveiligingsbeleid in hun toepassingen ondersteunen. Microsoft raadt aan om tijdens het afmelden integratie met de mogelijkheden voor selectief wissen van Intune te integreren en de registratie van de gebruiker op iOS ongedaan te maken.

Ondersteuning voor de modus voor gedeelde apparaten moet worden beschouwd als een functie-upgrade voor de toepassing en kan helpen bij het verhogen van de acceptatie in omgevingen waarin hetzelfde apparaat wordt gedeeld tussen meerdere gebruikers.

Notitie

Voor Microsoft-toepassingen die ondersteuning bieden voor de modus gedeeld apparaat, hoeft u geen verdere wijzigingen aan te brengen, behalve het installeren ervan op een apparaat met gedeelde apparaatmodus ingeschakeld.

Gerelateerde inhoud

Microsoft Entra ID ondersteunt de modus voor gedeelde apparaten in iOS- en Android-platforms. Zie voor meer informatie:

• Ondersteuning van de modus voor gedeelde apparaten voor iOS
• Ondersteuning van de modus voor gedeelde apparaten voor Android