共用裝置模式的概觀
共用裝置模式 (SDM) 是一項 Microsoft Entra ID 功能,可讓組織設定 iOS、iPadOS 或Android 裝置,供多名員工共用使用,這是前線背景工作角色環境中的常見做法。 透過 SDM,員工登入一次,即可存取所有支援的應用程式資料,而不需要存取其他員工的資料。 當員工完成輪班或工作之後登出時,他們會自動登出裝置和所有支援的應用程式,讓裝置準備好供下一位使用者使用。
為什麼選擇共用裝置模式?
為了讓員工能夠跨共用裝置使用組織的應用程式,開發人員應協助簡化且安全的使用者體驗。 員工應該能夠從共用集區中挑選裝置,並透過一個手勢登入,進而在輪班期間使該裝置成為「他們的」。 在輪班結束時,員工可以執行另一個手勢,以全域登出裝置,再將其傳回共用裝置集區。 啟用共用裝置模式提供數個優點,包括:
- 單一登入: 允許使用者登入其中一個支援共用裝置模式的應用程式,並在所有其他 SDM 支援的應用程式之間取得無縫驗證,而不需要重新輸入其認證。 免去共用裝置的初次執行體驗 (FRE) 螢幕的使用者。
- 單一登出: 讓使用者登出裝置,而不需要從每個 SDM 支援的應用程式個別登出。 登出可確保使用者的資料不會向後續裝置使用者顯示,前提是應用程式可確保清除任何快取的使用者資料。
- 透過條件式存取原則支援的安全性: 為系統管理員提供在共用裝置以特定條件式存取原則為目標的能力,確保員工只有在其共用裝置符合內部合規性標準時,才能存取公司資料。
支援與不支援的案例
共用裝置模式功能支援下列案例:
- 使用者在 Android 或 iOS/iPadOS 裝置上使用 Microsoft Entra ID 認證登入共用裝置模式支援的應用程式 (企業營運應用程式、第三方啟動器應用程式或 Microsoft 應用程式),並會自動登入裝置上所有共用裝置模式支援的應用程式。
- 使用者登出 Android 或 iOS/iPadOS 裝置上共用裝置模式支援的應用程式 (企業營運、第三方啟動器或 Microsoft 應用程式),並登出裝置上所有 SDM 支援的應用程式。
- 如果系統管理員以授與設定條件式存取原則,要求裝置註冊行動裝置管理 (MDM) 且符合規範,則只有在裝置符合規範時,使用者才能登入 SDM 支援的應用程式。
注意
如果使用者登入不支援共用裝置模式的應用程式,他們就不會獲得單一登入和單一登出的優點。
系統管理員和開發人員在實作共用裝置模式中的角色
若要利用共用裝置模式的功能,雲端裝置系統管理員與應用程式開發人員需要共同合作:
裝置管理員 透過手動或 Microsoft Intune 等行動裝置管理 (MDM) 提供者將裝置設定為共用裝置模式來準備要共用的裝置。 慣用選項是使用 MDM,因為它允許透過零觸控佈建大規模在共用裝置模式中安裝裝置。 MDM 已設定為將 Microsoft Authenticator 應用程式推送至開啟共用裝置模式的裝置。 在 iOS 裝置上,MDM 也會啟用共用裝置模式所需的 Microsoft 企業 SSO 外掛程式。
下列指南提供如何透過 Intune 在共用裝置模式設定裝置的詳細資料:
您也可以使用支援的第三方 MDM,在共用裝置模式中設定裝置。 有關 Android 支援共用裝置模式的第三方 MDM 清單,請參閱 支援共用裝置模式的第三方 MDM。
手動安裝對於試驗計畫與小規模部署來說是個實用工具。 它需要雲端裝置管理員存取權,而且必須在每個裝置上完成。
應用程式開發人員 使用 Microsoft 驗證庫 (MSAL) 將共用裝置模式支援新增至 單一帳戶公用用戶端應用程式 。 MSAL 可讓應用程式根據裝置狀態和裝置使用者的狀態訊號來修改其行為。 例如,每次使用應用程式時,應用程式會檢查裝置使用者的狀態,並在使用者變更時清除上一個使用者的資料。 在使用者變更時,應用程式應該確定已清除上一個使用者的資料,並移除應用程式中顯示的任何快取資料。
強烈建議應用程式開發人員還可以與 Intune App SDK 整合以支援所有資料外洩防護案例。 Intune App SDK 可讓開發人員在其應用程式中支援 Intune 應用程式防護原則 。 Microsoft 建議與 Intune 的 選擇性抹除 功能整合,並在登出期間 登出 iOS 上的使用者 。
支援共用裝置模式應被視為應用程式的功能升級,有助於提高其在多個使用者共用同一裝置環境中的採用率。
注意
對於支援共用裝置模式的 Microsoft 應用程式,除了在已啟用共用裝置模式的裝置上安裝應用程式以外,您不需要進行任何進一步的變更。
相關內容
Microsoft Entra ID 支援 iOS 和 Android 平台的共用裝置模式。 如需詳細資訊,請參閱