Omówienie trybu udostępnionego urządzenia

  • Artykuł

Tryb urządzenia udostępnionego to funkcja identyfikatora Entra firmy Microsoft, która umożliwia tworzenie i wdrażanie aplikacji obsługujących pracowników pierwszej linii i scenariuszy edukacyjnych, które wymagają udostępnionych urządzeń z systemami Android i iOS.

Obsługa wielu użytkowników na urządzeniach zaprojektowanych dla jednego użytkownika

Ponieważ urządzenia przenośne z systemem iOS lub Android zostały zaprojektowane dla pojedynczych użytkowników, większość aplikacji optymalizuje swoje środowisko do użycia przez jednego użytkownika. Część tego zoptymalizowanego środowiska oznacza włączenie logowania jednokrotnego (SSO) w aplikacjach i przechowywanie użytkowników zalogowanych na urządzeniu. Gdy użytkownik usunie swoje konto z aplikacji, aplikacja zwykle nie uwzględnia zdarzenia związanego z zabezpieczeniami. Wiele aplikacji przechowuje nawet poświadczenia użytkownika na potrzeby szybkiego logowania. Być może wystąpiło to samodzielnie, gdy aplikacja została usunięta z urządzenia przenośnego, a następnie ponownie zainstalowana, tylko w celu odnalezienia, że nadal się zalogowano.

Automatyczne logowanie jednokrotne i logowanie jednokrotne

Aby umożliwić pracownikom organizacji korzystanie z aplikacji w puli urządzeń udostępnianych przez tych pracowników, deweloperzy muszą włączyć przeciwne środowisko. Pracownicy powinni mieć możliwość wybrania urządzenia z puli i wykonania jednego gestu, aby "uczynić je ich" podczas zmiany. Po zakończeniu zmiany powinni mieć możliwość wykonania innego gestu w celu wylogowania się globalnie na urządzeniu, ze wszystkimi usuniętymi informacjami osobistymi i firmowymi, aby umożliwić im powrót do puli urządzeń. Ponadto, jeśli pracownik zapomni wylogować się, urządzenie powinno zostać automatycznie wylogowane na końcu zmiany i/lub po okresie braku aktywności.

Identyfikator entra firmy Microsoft umożliwia korzystanie z tych scenariuszy z funkcją nazywaną trybem urządzenia udostępnionego.

Wprowadzenie do trybu udostępnionego urządzenia

Jak wspomniano, tryb udostępnionego urządzenia to funkcja identyfikatora Entra firmy Microsoft, która umożliwia:

  • Tworzenie aplikacji obsługujących procesy robocze linii frontu.
  • Wdrażanie urządzeń w ramach procesów roboczych pierwszej linii przy użyciu aplikacji obsługujących tryb udostępnionego urządzenia.

Tworzenie aplikacji obsługujących procesy robocze linii frontu

Możesz obsługiwać procesy robocze pierwszej linii w aplikacjach przy użyciu biblioteki Microsoft Authentication Library (MSAL) i aplikacji Microsoft Authenticator w celu włączenia stanu urządzenia nazywanego trybem urządzenia udostępnionego. Gdy urządzenie jest w trybie urządzenia udostępnionego, firma Microsoft udostępnia aplikacji informacje umożliwiające jej modyfikowanie zachowania na podstawie stanu użytkownika na urządzeniu, chroniąc dane użytkownika.

Obsługiwane funkcje to:

  • Zaloguj się w całym urządzeniu użytkownika za pomocą dowolnej obsługiwanej aplikacji.
  • Wyloguj użytkownika na całym urządzeniu za pośrednictwem dowolnej obsługiwanej aplikacji.
  • Wykonaj zapytanie dotyczące stanu urządzenia , aby określić, czy aplikacja znajduje się na urządzeniu w trybie urządzenia udostępnionego.
  • Wykonaj zapytanie dotyczące stanu urządzenia użytkownika na urządzeniu, aby określić, czy coś zmieniło się od czasu ostatniego użycia aplikacji.

Obsługa trybu udostępnionego urządzenia powinna być traktowana jako uaktualnienie funkcji dla aplikacji i może pomóc zwiększyć jego wdrażanie w środowiskach, w których to samo urządzenie jest używane przez wielu użytkowników.

Użytkownicy zależą od Ciebie, aby upewnić się, że ich dane nie wyciekły do innego użytkownika. Udostępnianie trybu urządzenia zapewnia przydatne sygnały wskazujące aplikację, że nastąpiła zmiana, którą należy zarządzać. Aplikacja jest odpowiedzialna za sprawdzanie stanu użytkownika na urządzeniu za każdym razem, gdy aplikacja jest używana, czyszcząc dane poprzedniego użytkownika. Obejmuje to ponowne załadowanie z tła w wielu zadaniach. W przypadku zmiany użytkownika należy upewnić się, że zarówno dane poprzedniego użytkownika są czyszczone, jak i że wszystkie buforowane dane wyświetlane w aplikacji zostaną usunięte.

Aby obsługiwać wszystkie scenariusze zapobiegania utracie danych, zalecamy również integrację z zestawem SDK aplikacji usługi Intune. Korzystając z zestawu SDK aplikacji usługi Intune, możesz zezwolić aplikacji na obsługę zasad ochrony aplikacji usługi Intune. W szczególności zalecamy integrację z funkcjami selektywnego czyszczenia w usłudze Intune i wyrejestrowywaniem użytkownika w systemie iOS podczas wylogowywanie.

Na koniec zalecamy wykonanie dokładnego procesu przeglądu zabezpieczeń po dodaniu funkcji trybu udostępnionego urządzenia do aplikacji.

Aby uzyskać szczegółowe informacje na temat modyfikowania aplikacji w celu obsługi trybu udostępnionego urządzenia, zobacz sekcję Powiązana zawartość na końcu tego artykułu.

Wdrażanie urządzeń w procesach roboczych pierwszej linii i włączanie trybu udostępnionego urządzenia

Gdy aplikacje obsługują tryb udostępnionego urządzenia i zawierają wymagane dane i zmiany zabezpieczeń, możesz anonsować je jako użyteczne przez pracowników pierwszej linii.

Administratorzy urządzeń w organizacji mogą wdrażać swoje urządzenia i aplikacje w swoich sklepach i miejscach pracy za pomocą rozwiązania do zarządzania urządzeniami przenośnymi (MDM), takiego jak Microsoft Intune. Część procesu aprowizacji oznacza urządzenie jako urządzenie udostępnione. Administracja istratory konfigurują tryb urządzenia udostępnionego przez wdrożenieAplikacja Microsoft Authenticator i ustawienie trybu urządzenia udostępnionego za pomocą parametrów konfiguracji. Po wykonaniu tych kroków wszystkie aplikacje obsługujące tryb udostępnionego urządzenia będą używać aplikacji Microsoft Authenticator do zarządzania stanem użytkownika i zapewnienia funkcji zabezpieczeń dla urządzenia i organizacji.

Użyj zasad ochrony aplikacji, aby zapewnić ochronę przed utratą danych między użytkownikami.

W przypadku funkcji ochrony danych wraz z trybem urządzenia udostępnionego rozwiązanie firmy Microsoft do ochrony danych obsługiwane przez firmę Microsoft dla aplikacji platformy Microsoft 365 w systemach Android i iOS to zasady ochrony aplikacji usługi Microsoft Intune. Aby uzyskać więcej informacji na temat zasad, zobacz omówienie zasad Ochrona aplikacji — Microsoft Intune | Microsoft Learn.

Podczas konfigurowania zasad Ochrona aplikacji dla urządzeń udostępnionych zalecamy użycie rozszerzonej ochrony danych na poziomie 2 przedsiębiorstwa. Dzięki ochronie danych na poziomie 2 można ograniczyć scenariusze transferu danych, które mogą spowodować przeniesienie danych do części urządzenia, które nie są czyszczone w trybie urządzenia udostępnionego.

Powiązana zawartość

Obsługujemy platformy dla systemów iOS i Android dla trybu udostępnionego urządzenia. Aby uzyskać więcej informacji, zobacz: