Tryb udostępnionego urządzenia dla urządzeń z systemem Android
Pracownicy pierwszej linii, tacy jak pracownicy detaliczni, członkowie załogi lotniczej i pracownicy usługa terenowa często używają udostępnionego urządzenia przenośnego do wykonywania swojej pracy. Staje się to problematyczne, gdy zaczynają udostępniać hasła lub numery PIN w celu uzyskania dostępu do danych klientów i firm na udostępnionym urządzeniu.
Tryb urządzenia udostępnionego umożliwia skonfigurowanie urządzenia z systemem Android w taki sposób, aby można było go łatwo udostępniać wielu pracownikom. Pracownicy mogą szybko logować się i uzyskiwać dostęp do informacji o klientach. Po zakończeniu zmiany lub zadania użytkownik może wylogować się z urządzenia i będzie natychmiast gotowy do użycia przez następnego pracownika.
Tryb urządzenia udostępnionego zapewnia również zarządzanie urządzeniami opartymi na tożsamościach firmy Microsoft.
Aby utworzyć aplikację trybu udostępnionego urządzenia, deweloperzy i administratorzy urządzeń w chmurze współpracują ze sobą:
- Deweloperzy piszą aplikację z jednym kontem (aplikacje z wieloma kontami nie są obsługiwane w trybie urządzenia udostępnionego), dodaj
"shared_device_mode_supported": true
do konfiguracji aplikacji i napiszą kod do obsługi elementów, takich jak wylogowywanie urządzeń udostępnionych. - Administratorzy urządzeń przygotowują urządzenie do udostępnienia, instalując aplikację wystawcy uwierzytelniania i ustawiając urządzenie na tryb udostępniony przy użyciu aplikacji authenticator. Tylko użytkownicy, którzy znajdują się w roli Administracja istratora urządzenia w chmurze, mogą umieścić urządzenie w trybie udostępnionym przy użyciu aplikacji Authenticator. Członkostwo w rolach organizacyjnych można skonfigurować w centrum administracyjnym firmy Microsoft w obszarze:
Role tożsamości>i>Administracja role i Administracja Administracja>istrator urządzenia w chmurze.
Ten artykuł koncentruje się przede wszystkim na tym, o czym powinni myśleć deweloperzy.
Aplikacje jednokrotne a aplikacje z wieloma kontami
Aplikacje napisane przy użyciu zestawu SDK biblioteki Microsoft Authentication Library (MSAL) mogą zarządzać jednym kontem lub wieloma kontami. Aby uzyskać szczegółowe informacje, zobacz tryb pojedynczego konta lub tryb wielu kont.
Funkcje Platforma tożsamości Microsoft dostępne dla aplikacji różnią się w zależności od tego, czy aplikacja działa w trybie pojedynczego konta, czy w trybie wielu kont.
Aplikacje w trybie urządzenia udostępnionego działają tylko w trybie pojedynczego konta.
Ważne
Aplikacje, które obsługują tylko tryb wielu kont, nie mogą być uruchamiane na urządzeniu udostępnionym. Jeśli pracownik ładuje aplikację, która nie obsługuje trybu pojedynczego konta, nie będzie działać na urządzeniu udostępnionym.
Aplikacje napisane przed wydaniem zestawu SDK biblioteki MSAL są uruchamiane w trybie wielu kont i muszą zostać zaktualizowane w celu obsługi trybu pojedynczego konta, zanim będą mogły działać na urządzeniu w trybie udostępnionym.
Obsługa zarówno jednego konta, jak i wielu kont
Aplikację można utworzyć w celu obsługi uruchamiania zarówno na urządzeniach osobistych, jak i na urządzeniach udostępnionych. Jeśli aplikacja obecnie obsługuje wiele kont i chcesz obsługiwać tryb urządzenia udostępnionego, dodaj obsługę trybu pojedynczego konta.
Możesz również chcieć, aby aplikacja zmieniła swoje zachowanie w zależności od typu urządzenia, na którym jest uruchomiona. Użyj ISingleAccountPublicClientApplication.isSharedDevice()
polecenia , aby określić, kiedy należy uruchomić w trybie pojedynczego konta.
Istnieją dwa różne interfejsy reprezentujące typ urządzenia, na których znajduje się aplikacja. Gdy zażądasz wystąpienia aplikacji z fabryki aplikacji biblioteki MSAL, prawidłowy obiekt aplikacji jest udostępniany automatycznie.
Poniższy model obiektów ilustruje typ obiektu, który może zostać odebrany i co oznacza w kontekście urządzenia udostępnionego:
Podczas pobierania obiektu należy sprawdzić typ i rzutować go do odpowiedniego interfejsu PublicClientApplication
. Poniższy kod sprawdza wiele trybów konta lub trybów pojedynczego konta i odpowiednio rzutuje obiekt aplikacji:
private IPublicClientApplication mApplication;
// Running in personal-device mode?
if (mApplication instanceOf IMultipleAccountPublicClientApplication) {
IMultipleAccountPublicClientApplication multipleAccountApplication = (IMultipleAccountPublicClientApplication) mApplication;
...
// Running in shared-device mode?
} else if (mApplication instanceOf ISingleAccountPublicClientApplication) {
ISingleAccountPublicClientApplication singleAccountApplication = (ISingleAccountPublicClientApplication) mApplication;
...
}
Następujące różnice mają zastosowanie w zależności od tego, czy aplikacja jest uruchomiona na urządzeniu udostępnionym, czy osobistym:
Urządzenie w trybie udostępnionym | Urządzenie osobiste | |
---|---|---|
Klienci | Jedno konto | Wiele kont |
Logowanie | Globalnie | Globalnie |
Wyrejestrowywania | Globalnie | Każda aplikacja może kontrolować, czy wylogowywanie jest lokalne w aplikacji. |
Obsługiwane typy kont | Tylko konta służbowe | Obsługiwane konta osobiste i służbowe |
Dlaczego warto obsługiwać tylko tryb pojedynczego konta
Jeśli piszesz aplikację, która będzie używana tylko dla procesów roboczych pierwszej linii przy użyciu urządzenia udostępnionego, zalecamy napisanie aplikacji w celu obsługi tylko trybu pojedynczego konta. Obejmuje to większość aplikacji, które są ukierunkowane na zadania, takie jak aplikacje dokumentacji medycznej, aplikacje faktury i większość aplikacji biznesowych. Tylko obsługa trybu pojedynczego konta upraszcza programowanie, ponieważ nie trzeba implementować innych funkcji, które są częścią aplikacji z wieloma kontami.
Co się stanie po zmianie trybu urządzenia
Jeśli aplikacja działa w trybie wielu kont, a administrator umieści urządzenie w trybie urządzenia udostępnionego, wszystkie konta na urządzeniu zostaną wyczyszczone z aplikacji, a aplikacja przejdzie do trybu pojedynczego konta.
Aplikacje firmy Microsoft obsługujące tryb urządzenia udostępnionego
Te aplikacje firmy Microsoft obsługują tryb urządzenia udostępnionego firmy Microsoft Entra:
- Microsoft Teams
- Aplikacja microsoft Zarządzany Ekran Główny dla systemu Android Enterprise
- Microsoft Edge
- Outlook
- Microsoft Power Apps
- Microsoft Power BI dla urządzeń przenośnych
- Microsoft Viva Engage (wcześniej Yammer)
- Microsoft 365 (w publicznej wersji zapoznawczej)
MdM innych firm, które obsługują tryb udostępnionego urządzenia
Ta inna firma Mobile Zarządzanie urządzeniami (MDM), która obsługuje tryb urządzenia udostępnionego firmy Microsoft Entra:
Wylogowywanie urządzenia udostępnionego i ogólny cykl życia aplikacji
Po wylogowaniu się użytkownika należy podjąć działania w celu ochrony prywatności i danych użytkownika. Jeśli na przykład tworzysz aplikację dokumentacji medycznej, chcesz upewnić się, że gdy użytkownik wyjedzie wcześniej wyświetlane rekordy pacjentów, zostaną wyczyszczone. Aplikacja musi być przygotowana na ochronę prywatności danych i sprawdzać ją za każdym razem, gdy wchodzi na pierwszy plan.
Gdy aplikacja używa biblioteki MSAL do wylogowania użytkownika w aplikacji uruchomionej na urządzeniu w trybie udostępnionym, zalogowane konto i buforowane tokeny zostaną usunięte zarówno z aplikacji, jak i z urządzenia.
Na poniższym diagramie przedstawiono ogólny cykl życia aplikacji i typowe zdarzenia, które mogą wystąpić podczas uruchamiania aplikacji. Diagram obejmuje czas uruchamiania działania, logowania i wylogowywanie konta oraz informacje o tym, w jaki sposób zdarzenia, takie jak wstrzymanie, wznawianie i zatrzymywanie działania.
Następne kroki
Aby uzyskać więcej informacji na temat uruchamiania aplikacji procesu roboczego frontline w trybie udostępnionym na urządzeniu z systemem Android, zobacz: