Dela via


Översikt över läget för delad enhet

Läget för delad enhet är en funktion i Microsoft Entra-ID som gör att du kan skapa och distribuera program som stöder arbetare i frontlinjen och utbildningsscenarier som kräver delade Android- och iOS-enheter.

Stöd för flera användare på enheter som utformats för en användare

Eftersom mobila enheter som kör iOS eller Android har utformats för enskilda användare optimerar de flesta program sin upplevelse för användning av en enskild användare. En del av den här optimerade upplevelsen innebär att aktivera enkel inloggning (SSO) mellan program och hålla användarna inloggade på sin enhet. När en användare tar bort sitt konto från ett program anser appen vanligtvis inte att det är en säkerhetsrelaterad händelse. Många appar behåller till och med en användares autentiseringsuppgifter för snabb inloggning. Du kan ha upplevt detta själv när du har tagit bort ett program från din mobila enhet och sedan installerat om det, bara för att upptäcka att du fortfarande är inloggad.

Automatisk enkel inloggning och enkel inloggning

För att en organisations anställda ska kunna använda sina appar i en pool med enheter som delas av dessa anställda måste utvecklarna aktivera den motsatta upplevelsen. Anställda bör kunna välja en enhet från poolen och utföra en enda gest för att "göra den till sin" under sitt skift. I slutet av sitt skift bör de kunna utföra en annan gest för att logga ut globalt på enheten, med all personlig information och företagsinformation borttagen så att de kan returnera den till enhetspoolen. Om en anställd glömmer att logga ut bör enheten dessutom loggas ut automatiskt i slutet av sitt skift och/eller efter en period av inaktivitet.

Microsoft Entra-ID möjliggör dessa scenarier med en funktion som kallas läget för delad enhet.

Introduktion till läget för delad enhet

Som nämnts är läget för delad enhet en funktion i Microsoft Entra-ID som gör att du kan:

  • Skapa program som stöder medarbetare i frontlinjen.
  • Distribuera enheter till arbetare i frontlinjen med appar som stöder delat enhetsläge.

Skapa program som stöder medarbetare i frontlinjen

Du kan stödja medarbetare i frontlinjen i dina program genom att använda Microsoft Authentication Library (MSAL) och Microsoft Authenticator-appen för att aktivera ett enhetstillstånd som kallas delat enhetsläge. När en enhet är i läget för delad enhet ger Microsoft ditt program information så att den kan ändra sitt beteende baserat på användarens tillstånd på enheten och skydda användardata.

Funktioner som stöds är:

  • Logga in en användare i hela enheten via alla program som stöds.
  • Logga ut en användare i hela enheten via alla program som stöds.
  • Fråga enhetens tillstånd för att avgöra om ditt program finns på en enhet som är i delat enhetsläge.
  • Fråga användarens enhetstillstånd på enheten för att avgöra om något har ändrats sedan den senaste gången programmet användes.

Stöd för läget för delad enhet bör betraktas som en funktionsuppgradering för ditt program och kan bidra till att öka dess införande i miljöer där samma enhet används bland flera användare.

Användarna är beroende av dig för att se till att deras data inte läcker ut till en annan användare. Delningsenhetens läge ger användbara signaler för att indikera för ditt program att en ändring som du bör hantera har inträffat. Ditt program ansvarar för att kontrollera användarens tillstånd på enheten varje gång appen används, vilket rensar den tidigare användarens data. Detta inkluderar om det läses in igen från bakgrunden i multi-tasking. Vid en användarändring bör du se till att både den tidigare användarens data rensas och att alla cachelagrade data som visas i programmet tas bort.

För att stödja alla scenarier för dataförlustskydd rekommenderar vi också att du integrerar med Intune App SDK. Genom att använda Intune App SDK kan du tillåta att ditt program stöder Intune-appskyddsprinciper. I synnerhet rekommenderar vi att du integrerar med Intune:s selektiva rensningsfunktioner och avregistrerar användaren på iOS under en utloggning.

Slutligen rekommenderar vi att du alltid utför en grundlig säkerhetsgranskningsprocess när du har lagt till funktionen för delat enhetsläge i din app.

Mer information om hur du ändrar dina program för att stödja läget för delad enhet finns i avsnittet Relaterat innehåll i slutet av den här artikeln.

Distribuera enheter till arbetare i frontlinjen och aktivera läget för delad enhet

När dina program har stöd för delat enhetsläge och innehåller nödvändiga data- och säkerhetsändringar kan du annonsera dem som användbara av medarbetare i frontlinjen.

En organisations enhetsadministratörer kan distribuera sina enheter och dina program till sina butiker och arbetsplatser via en MDM-lösning (hantering av mobila enheter) som Microsoft Intune. En del av etableringsprocessen är att markera enheten som en delad enhet. Administratörer konfigurerar läget för delad enhet genom att distribuera Microsoft Authenticator-appen och ställa in läget för delad enhet via konfigurationsparametrar. När du har slutfört de här stegen använder alla program som stöder delat enhetsläge Microsoft Authenticator-programmet för att hantera användartillståndet och tillhandahålla säkerhetsfunktioner för enheten och organisationen.

Använd appskyddsprinciper för att tillhandahålla dataförlustskydd mellan användare.

För dataskyddsfunktioner tillsammans med läget för delad enhet är Microsofts dataskyddslösning som stöds för Microsoft 365-program på Android och iOS Microsoft Intune-programskyddsprinciper. Mer information om principerna finns i översikten över Appskydd principer – Microsoft Intune | Microsoft Learn.

När du konfigurerar Appskydd principer för delade enheter rekommenderar vi att du använder utökat dataskydd på nivå 2 för företag. Med dataskydd på nivå 2 kan du begränsa dataöverföringsscenarier som kan leda till att data flyttas till delar av enheten som inte rensas med delat enhetsläge.

Vi stöder iOS- och Android-plattformar för delat enhetsläge. Mer information finns i: