共用方式為

共用裝置模式的概觀

  • 發行項

共用裝置模式是一項 Microsoft Entra ID 的功能,可讓您建置及部署支援前線背景工作角色和教育案例的應用程式,這些應用程式需要共用的 Android 和 iOS 裝置。

在為一個使用者設計的裝置上支援多個用使用者

由於執行 iOS 或 Android 的行動裝置是針對單一使用者所設計,因此大部分的應用程式都會最佳化其體驗以供單一使用者使用。 這項最佳化體驗的一部分,表示在應用程式之間啟用單一登入 (SSO),並讓使用者在其裝置上保持登入。 當使用者從應用程式移除其帳戶時,應用程式通常不會將其視為與安全性相關事件。 許多應用程式甚至會保留使用者的認證,以供快速登入使用。 當您從行動裝置中刪除應用程式,然後重新安裝時,可能也會遇到這種情況,卻發現您仍然處於登入狀態。

自動單一登入和單一登入

為了讓組織的員工能夠在這些員工所共用的裝置集區上使用其應用程式,開發人員必須啟用相反的體驗。 員工應該能夠從集區中挑選裝置,並在輪班期間執行單一手勢,以「使其成為他們的」。 在輪班結束時,他們應該能夠執行另一個手勢,以在裝置上全域登出,並移除其所有的個人和公司資訊,以便將其退回裝置集區。 此外,如果員工忘記登出,則裝置應在輪班結束時和/或一段時間停止活動後自動登出。

Microsoft Entra ID 使用名為共用裝置模式的功能來啟用這些情節。

介紹共用裝置模式

如前所述,共用裝置模式是 Microsoft Entra ID 的功能之一,可讓您:

  • 組建支援前線背景工作角色的應用程式。
  • 使用支援共用裝置模式的應用程式將裝置部署到前線背景工作角色。

組建支援前線背景工作角色的應用程式

您可以透過使用 Microsoft 驗證程式庫 (MSAL) 和 Microsoft Authenticator 應用程式來啟用名為共用裝置模式的裝置狀態,以支援應用程式中的前線背景工作角色。 當裝置處於共用裝置模式時,Microsoft 會向應用程式提供資訊,使其能夠根據裝置上使用者的狀態修改其行為,以保護使用者資料。

支援的功能包括:

  • 透過任何支援的應用程式在使用者裝置範圍內登入
  • 透過任何支援的應用程式在使用者裝置範圍內登出
  • 查詢裝置的狀態,以判斷您的應用程式是否位於處於共用裝置模式的裝置上。
  • 在裝置上查詢使用者的裝置狀態,以判斷自從上次使用您的應用程式之後是否有任何變更。

支援共用裝置模式應將其視為應用程式的功能更新,並有助於提高其在多個使用者使用同一裝置環境中的採用率。

您的使用者仰賴您確保其資料不會洩漏給其他使用者。 共用裝置模式提供實用的訊號,向應用程式指出您應該管理的變更已發生。 您的應用程式負責在每次使用應用程式時檢查裝置上的使用者狀態,清除前一個使用者的資料。 這包括其是否會在多工處理中從背景重新載入。 在使用者變更時,您應該確定已清除前一個使用者的資料,並移除應用程式中顯示的所有快取資料。

為了支援所有資料外洩防護案例,我們也建議您與 Intune App SDK 整合。 您可以使用 Intune App SDK,允許應用程式支援 Intune 應用程式防護原則。 特別是,建議您與 Intune 的選擇性抹除功能整合,並在登出期間取消註冊 iOS 上的使用者

最後,我們建議您在向應用程式新增共用裝置模式功能後,務必執行徹底的安全性檢閱流程。

如需如何修改應用程式以支援共用裝置模式的詳細資訊,請參閱本文結尾的相關內容區段。

將裝置部署到前線背景工作角色並開啟共用裝置模式

一旦您的應用程式支援共用裝置模式,並包含所需的資料和安全性變更,您就可以將其公告為前線背景工作角色可供使用。

組織的裝置管理員可以透過行動裝置管理 (MDM) 解決方案 (如 Microsoft Intune),將其裝置和您的應用程式部署到其商店和工作場所。 佈建流程的一部分會將裝置標示為共用裝置。 管理員可以藉由部署 Microsoft Authenticator 應用程式,並透過設定參數設定共用裝置模式,來設定共用裝置模式。 完成這些步驟後,所有支援共用裝置模式的應用程式都將使用 Microsoft Authenticator 應用程式來管理其使用者狀態,並為裝置和組織提供安全性功能。

使用應用程式防護原則來提供使用者之間的資料外洩防護。

針對資料保護功能以及共用裝置模式,Microsoft 在 Android 和 iOS 上針對 Microsoft 365 應用程式的支援資料保護解決方案為 Microsoft Intune 應用程式防護原則。 如需原則的詳細資訊,請參閱應用程式防護原則概觀 - Microsoft Intune | Microsoft Learn

設定共用裝置的應用程式防護原則時,建議使用層級 2 企業增強資料保護。 您可以使用層級 2 資料保護來限制資料傳輸案例,這種案例可能導致資料移至未使用共用裝置模式清除的裝置部分。

相關內容

我們支援 iOS 和 Android 平台的共用裝置模式。 如需詳細資訊,請參閱