共用裝置模式的概觀

共用裝置模式是 Azure Active Directory (Azure AD) 的一項功能,可讓您建置和部署應用程式,以支援需要共用 Android 和 iOS 裝置的前端工作者和教育案例。

重要

適用於 iOS 的共用裝置模式處於已可公開預覽狀態。 此預覽版是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 某些功能可能不受支援,或功能受到限制。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

在為一個使用者設計的裝置上支援多個用使用者

由於執行 iOS 或 Android 的行動裝置是針對單一使用者所設計,因此大部分的應用程式都會最佳化其體驗以供單一使用者使用。 這項最佳化體驗的一部分,表示在應用程式之間啟用單一登入,並讓使用者在其裝置上保持登入。 當使用者從應用程式移除其帳戶時,應用程式通常不會將其視為與安全性相關事件。 許多應用程式甚至會保留使用者的認證,以供快速登入使用。 當您從行動裝置中刪除應用程式,然後重新安裝時,您可能也會遇到這種情況,卻發現您仍然處於登入狀態。

自動單一登入和單一登出

為了讓組織的員工能夠在這些員工所共用的裝置集區上使用其應用程式,開發人員必須啟用相反的體驗。 員工應該能夠從集區中挑選裝置,並在輪班期間執行單一手勢以「讓其成為他們」。 在輪班結束時,他們應該能夠執行另一個手勢,以在裝置上全域登出,並移除其所有的個人和公司資訊,以便將其退回裝置集區。 此外,如果員工忘記登出,則裝置應在輪班結束時和/或一段時間停止活動後自動登出。

Azure Active Directory 使用名為共用裝置模式的功能來啟用這些情節。

介紹共用裝置模式

如前所述,共用裝置模式是 Azure Active Directory 的功能之一,可讓您:

  • 組建支援前線背景工作角色的應用程式
  • 使用支援共用裝置模式的應用程式,將裝置部署至前線工作者。

組建支援前線背景工作角色的應用程式

您可以透過使用 Microsoft 驗證程式庫 (MSAL) 和 Microsoft Authenticator 應用程式來啟用名為共用裝置模式的裝置狀態,以支援應用程式中的前線背景工作角色。 當裝置處於共用裝置模式時,Microsoft 會向應用程式提供資訊,使其能夠根據裝置上使用者的狀態修改其行為,以保護使用者資料。

支援的功能包括:

  • 透過任何支援的應用程式在使用者裝置範圍內登入
  • 透過任何支援的應用程式在使用者裝置範圍內登出
  • 查詢裝置的狀態,以判斷您的應用程式是否位於處於共用裝置模式的裝置上。
  • 在裝置上查詢使用者的裝置狀態,以判斷自從上次使用您的應用程式之後是否有任何變更。

支援共用裝置模式應將其視為應用程式的功能更新,並有助於提高其在多個使用者使用同一裝置環境中的採用率。

您的使用者仰賴您確保其資料不會洩漏給其他使用者。 共用裝置模式提供實用的訊號,向應用程式指出您應該管理的變更已發生。 您的應用程式負責在每次使用應用程式時檢查裝置上的使用者狀態,清除前一個使用者的資料。 這包括在多工中從背景重載時。 在使用者變更時,您應該確定已清除前一個使用者的資料,並移除應用程式中顯示的所有快取資料。

為了支援所有資料外泄防護案例,我們也建議您與Intune App SDK整合。 藉由使用 Intune App SDK,您可以讓應用程式支援Intune應用程式保護原則。 特別是,建議您與Intune選擇性抹除功能整合,並在登出期間取消註冊 iOS 上的使用者

最後,建議您在將共用裝置模式功能新增至您的應用程式之後,一律執行完整的安全性檢閱程式。

如需如何修改應用程式以支援共用裝置模式的詳細資訊,請參閱本文結尾的後續步驟區段。

將裝置部署到前線背景工作角色並開啟共用裝置模式

一旦您的應用程式支援共用裝置模式,並包含所需的資料和安全性變更,您就可以將其公告為前線背景工作角色可供使用。

組織的裝置管理員可以透過行動裝置管理 (MDM) 解決方案 (如 Microsoft Intune),將其裝置和您的應用程式部署到其商店和工作場所。 佈建流程的一部分會將裝置標示為共用裝置。 管理員可以藉由部署 Microsoft Authenticator 應用程式,並透過設定參數設定共用裝置模式,來設定共用裝置模式。 執行這些步驟後,所有支援共用裝置模式的應用程式都將使用 Microsoft Authenticator 應用程式來管理其使用者狀態,並為裝置和組織提供安全性功能。

使用應用程式保護原則來提供使用者之間的資料外泄防護。

針對資料保護功能以及共用裝置模式,Microsoft Android 和 iOS 上Microsoft 365 應用程式支援的資料保護解決方案Microsoft Intune應用程式保護原則。 如需原則的詳細資訊,請參閱應用程式防護原則概觀 - Microsoft Intune |Microsoft Learn

為共用裝置設定應用程式防護原則時,建議使用層級 2 企業增強資料保護。 使用層級 2 資料保護時,您可以限制可能導致資料移至未使用共用裝置模式清除之裝置部分的資料傳輸案例。

後續步驟

我們支援 iOS 和 Android 平台的共用裝置模式。 請檢閱下列文件以了解您的平台,以開始在您的應用程式中支援前線背景工作角色。