Omówienie trybu udostępnionego urządzenia

Tryb urządzenia udostępnionego (SDM) to funkcja identyfikatora Entra firmy Microsoft, która umożliwia organizacjom konfigurowanie urządzenia z systemem iOS, iPadOS lub Android do użytku współużytkowanego przez wielu pracowników, co jest powszechną praktyką w środowiskach roboczych pierwszej linii. Dzięki narzędziu SDM pracownicy logują się raz w celu uzyskania dostępu do danych we wszystkich obsługiwanych aplikacjach bez uzyskiwania dostępu do danych innych pracowników. Gdy pracownicy wylogowują się po zakończeniu zmiany lub zadania, automatycznie wylogowują się z urządzenia i wszystkich obsługiwanych aplikacji, dzięki czemu urządzenie będzie gotowe dla następnego użytkownika.

Dlaczego tryb udostępnionego urządzenia?

Aby umożliwić pracownikom korzystanie z aplikacji organizacji na udostępnionych urządzeniach, deweloperzy powinni ułatwić usprawnione i bezpieczne środowisko użytkownika. Pracownicy powinni mieć możliwość wybrania urządzenia z puli udostępnionej i zalogowania się za pomocą jednego gestu, dzięki czemu urządzenie jest "ich" podczas zmiany. Po zakończeniu zmiany pracownicy mogą wykonać inny gest, aby globalnie wylogować się z urządzenia przed zwróceniem go do udostępnionej puli urządzeń. Włączenie trybu udostępnionego urządzenia zapewnia kilka korzyści, w tym:

• Logowanie jednokrotne: zezwalaj użytkownikom na logowanie się do jednej z aplikacji obsługujących tryb urządzenia udostępnionego i bezproblemowe uwierzytelnianie we wszystkich innych obsługiwanych aplikacjach SDM bez konieczności ponownego wprowadzania poświadczeń. Wyklucz użytkowników z ekranów pierwszego uruchomienia (FRE) na udostępnionych urządzeniach.
• Wylogowywanie jednokrotne: umożliwia użytkownikom wylogowanie się z urządzenia bez konieczności wylogowania się indywidualnie z każdej obsługiwanej aplikacji SDM. Wylogowywanie zapewnia użytkownikom, że ich dane nie będą wyświetlane kolejnym użytkownikom urządzenia, pod warunkiem, że aplikacje zapewniają czyszczenie wszystkich buforowanych danych użytkownika.
• Zabezpieczenia za pośrednictwem zasad dostępu warunkowego obsługują: zapewniają administratorom możliwość określania określonych zasad dostępu warunkowego na urządzeniach udostępnionych, zapewniając pracownikom dostęp do danych firmowych tylko wtedy, gdy ich udostępnione urządzenie spełnia wewnętrzne standardy zgodności.

Scenariusze obsługiwane i nieobsługiwane

Funkcja trybu udostępnionego urządzenia obsługuje następujące scenariusze:

• Użytkownik loguje się do aplikacji obsługiwanej w trybie urządzenia udostępnionego (aplikacja biznesowa, aplikacja uruchamiania innej firmy lub aplikacja firmy Microsoft) na urządzeniu z systemem Android lub iOS/iPadOS przy użyciu poświadczeń identyfikatora Entra firmy Microsoft i jest automatycznie zalogowany do wszystkich aplikacji obsługiwanych w trybie urządzenia udostępnionego na urządzeniu.
• Użytkownik wyloguje się z aplikacji obsługiwanej w trybie urządzenia udostępnionego (aplikacja biznesowa, uruchamiania innej firmy lub aplikacji firmy Microsoft) na urządzeniu z systemem Android lub iOS/iPadOS i jest wylogowywany ze wszystkich obsługiwanych aplikacji SDM na urządzeniu.
• Jeśli administrator konfiguruje zasady dostępu warunkowego z przyznaniem, które wymagają zarejestrowania urządzeń w usłudze zarządzania urządzeniami przenośnymi (MDM) i zgodności, użytkownik może zalogować się tylko do aplikacji obsługiwanej przez program SDM, jeśli urządzenie jest zgodne.

Uwaga

Jeśli użytkownik loguje się do aplikacji, która nie obsługuje trybu udostępnionego urządzenia, nie otrzymuje korzyści z logowania jednokrotnego i logowania jednokrotnego.

Role administratorów i deweloperów w implementowaniu trybu udostępnionego urządzenia

Aby korzystać z funkcji trybu udostępnionego urządzenia, administratorzy urządzeń w chmurze i deweloperzy aplikacji współpracują ze sobą:

Administratorzy urządzeń przygotowują urządzenia do udostępniania, konfigurując urządzenia w trybie udostępnionym ręcznie lub za pośrednictwem dostawcy zarządzania urządzeniami przenośnymi(MDM), takiego jak Microsoft Intune. Preferowaną opcją jest użycie rozwiązania MDM, ponieważ umożliwia skonfigurowanie urządzenia w trybie urządzenia udostępnionego na dużą skalę za pośrednictwem bezobsługowej aprowizacji. Rozwiązanie MDM jest skonfigurowane do wypychania aplikacji Microsoft Authenticator do urządzenia z włączonym trybem urządzenia udostępnionego. Na urządzeniach z systemem iOS rozwiązanie MDM włącza również wtyczkę logowania jednokrotnego firmy Microsoft Enterprise wymaganą dla trybu udostępnionego urządzenia.

Poniższe przewodniki zawierają więcej szczegółowych informacji na temat sposobu konfigurowania urządzeń w trybie urządzenia udostępnionego za pośrednictwem usługi Intune:

• Konfigurowanie rejestracji w usłudze Intune dedykowanych urządzeń z systemem Android Enterprise
• Konfigurowanie rejestracji dla urządzeń z systemami iOS i iPadOS w trybie urządzenia udostępnionego.

Urządzenia można również skonfigurować w trybie udostępnionego urządzenia przy użyciu obsługiwanego rozwiązania MDM innej firmy. Aby uzyskać listę zarządzania urządzeniami przenośnymi innych firm, które obsługują tryb udostępnionego urządzenia w systemie Android, zapoznaj się z tematami MDM innych firm, które obsługują tryb udostępnionego urządzenia.

Konfiguracja ręczna to przydatne narzędzie do obsługi programów pilotażowych i wdrożeń na małą skalę. Wymaga to dostępu administratora urządzeń w chmurze i musi być wykonywane na każdym urządzeniu.

Deweloperzy aplikacji dodają obsługę trybu urządzenia udostępnionego do publicznej aplikacji klienckiej pojedynczego konta przy użyciu biblioteki Microsoft Authentication Library (MSAL). Biblioteka MSAL umożliwia aplikacjom modyfikowanie ich zachowania na podstawie sygnałów stanu urządzenia i użytkownika na urządzeniu. Na przykład aplikacja sprawdza stan użytkownika na urządzeniu za każdym razem, gdy aplikacja jest używana i czyści dane poprzedniego użytkownika, jeśli użytkownik uległ zmianie. W przypadku zmiany użytkownika aplikacja powinna upewnić się, że dane poprzedniego użytkownika zostaną wyczyszczone i że wszystkie buforowane dane wyświetlane w aplikacji zostaną usunięte.

Deweloperzy aplikacji mogą również zintegrować się z zestawem SDK aplikacji usługi Intune, aby obsługiwać wszystkie scenariusze zapobiegania utracie danych, co jest zdecydowanie zalecane. Zestaw SDK aplikacji usługi Intune umożliwia deweloperom obsługę zasad ochrony aplikacji usługi Intune w swoich aplikacjach. Firma Microsoft zaleca integrację z funkcjami selektywnego czyszczenia w usłudze Intune i wyrejestrowaniem użytkownika w systemie iOS podczas wylogowywanie.

Obsługa trybu udostępnionego urządzenia powinna być traktowana jako uaktualnienie funkcji dla aplikacji i może pomóc zwiększyć jego wdrażanie w środowiskach, w których to samo urządzenie jest współużytkowane przez wielu użytkowników.

Uwaga

W przypadku aplikacji firmy Microsoft obsługujących tryb udostępnionego urządzenia nie trzeba wprowadzać żadnych dalszych zmian innych niż instalowanie ich na urządzeniu z włączonym trybem urządzenia udostępnionego.

Powiązana zawartość

Identyfikator Entra firmy Microsoft obsługuje tryb urządzenia udostępnionego na platformach iOS i Android. Aby uzyskać więcej informacji, zobacz:

• Obsługa trybu udostępnionego urządzenia dla systemu iOS
• Obsługa trybu udostępnionego urządzenia dla systemu Android